AI 并未让坏人更聪明,只是让作恶的门槛大幅降低
上一篇结尾,我开了个玩笑:Agent 的防守这么松,那是不是干脆去当攻击者,来钱更快?这期就来扒一扒黑客们在Agent时代是怎么赚钱的。
很多人聊 AI 安全,很容易越聊越散:提示注入、MCP、RAG、浏览器扩展、插件、供应链、深伪、勒索、云权限、Agent 工作流……每个词都能写一篇。
但站在普通人的视角,真正该问的问题不是“它用了什么攻击技术”,而是:如果有人真的盯上 AI Agent,他到底靠什么赚钱?
顺着钱看,事情会清楚很多。攻击者赚钱,无非盯着几样东西:入口、权限、数据、信任、规模。
AI 没有发明黑产,它真正改变的,是黑产做事的成本、速度、规模和分工。它不是让坏人突然变聪明了,它是先让很多坏事变便宜了。
先说合法的。发现 AI 产品里的安全问题,按规则报告给厂商,厂商付钱,这叫漏洞赏金。
OpenAI 在 2025 年把关键漏洞最高赏金提高到 10 万美元。这笔钱听起来像技术人的奖金,但背后其实是一种很现实的市场定价:一个漏洞如果先落到黑产手里,损失可能远高于赏金。
厂商花钱买漏洞报告,本质上是在提前买一个少出事的机会。
这条路的好处很明显:钱干净,睡得着,简历还能加分。坏处也很明显:你得真懂,得能复现,得守规则。
AI 系统里的“漏洞”,已经不只是一段代码写错。它可能是模型被诱导,工具权限过大,外部内容和内部指令混在一起,也可能是 Agent 做了它不该做的动作。Agent 越能干,漏洞的边界就越不像传统漏洞,这类漏洞带来潜在的破坏性也就越大。
很多攻击听起来很高级,最后都会回到一个朴素问题:怎么进入用户的电脑?
以前常见的入口,是密码、钓鱼邮件、远程服务、系统漏洞。
到了 AI Agent 这里,入口多了一批新面孔:MCP server、浏览器扩展、AI 写作插件、npm 包、Agent 框架、RAG 组件、IDE 助手。
它们的共同点是:用户安装它们时,心里想的是“省事”。攻击者看到的,是“授权”。
比如 Koi Security 在 2025 年披露过一个 postmark-mcp 的案例。这是一个让 AI 助手发送邮件的 MCP server,问题出在某个版本之后,它会悄悄把邮件抄送到外部地址。
这个案例不复杂,但它正好说明问题:AI Agent 一旦接上工具,工具就不再只是工具。它可能能看邮件、发请求、读文件、调接口、碰密钥、访问企业系统。一个小插件拿到的,可能是一大串工作权限。
新工具可疑,大家还会多看两眼。老工具突然变坏,才真难防。信任一旦建立,审查就会变懒;自动更新一旦打开,坏代码就能排队进来。
更近的案例,已经把目标瞄得更准。
2026 年 6 月,StepSecurity 披露 Mastra 生态里 140 多个 npm 包被加入 typosquat 依赖,受影响包合计每周下载量超过 110 万。Mastra 本身就是面向 AI Agent、workflow、RAG 和 MCP 的 TypeScript 框架。
以前供应链投毒,偷的是服务器、CI、云密钥。现在它可以摸进 AI Agent 的开发框架、上下文配置、工具权限和企业集成。攻击者不一定要攻你的 Agent,他只需要混进你用来造 Agent 的零件里。
浏览器扩展也是同一套逻辑。写邮件嫌慢,装一个 AI 写作助手;看网页嫌累,装一个 AI 总结插件;填表、翻译、润色、客服回复,每个场景都有人做成扩展。它们看起来很轻,权限却贴着你的日常工作流。
Unit 42 在 2026 年披露过 18 个伪装成生成式 AI 生产力工具的高风险浏览器扩展,类型包括远控、浏览器中间人、信息窃取、搜索劫持、品牌仿冒和间谍软件。
这类攻击是怎么赚钱的?
赚在入口。入口一旦拿到,后面可以卖凭据、偷数据、植入后门、转卖访问权限。它看起来像工具生意,实际卖的是别人系统里的一把钥匙。
AI Agent 最贵的地方,往往不是模型本身,而是它背后接了什么。
接邮箱,它知道谁在催你;接网盘,它知道你有哪些合同;接代码仓库,它知道系统怎么写;接 CRM,它知道客户是谁;接云平台,它还能代表某个身份去做事。
攻击者盯上这些东西,原因很简单:权限可以转卖,上下文可以变现。
Checkmarx 披露过 Microsoft 365 Copilot 的 EchoLeak 漏洞。公开信息显示,外部邮件中的间接提示注入,有可能借助 RAG 和上下文检索触发企业数据泄漏。这个漏洞编号是 CVE-2025-32711,Microsoft 后续已修复,公开信息称未发现外部利用的证据。
这个案例值得看,不是因为它已经造成了某个惊天损失,而是因为它把一个方向摆到了桌面上:攻击者不一定要拿到你的数据库密码,他也可以想办法让你的 AI 助理自己去查。
企业知识库的危险,不在于资料多。资料多本来是好事。危险在于权限边界、检索边界、外部输入和内部答案搅在一起以后,AI 有时会忘了:谁有资格知道什么。
同样的问题也会出现在云端 Agent 身上。过去我们说账号被盗,想到的是用户名和密码。到了 Agent 时代,“身份”可能是一组服务账号权限、一个 OAuth 授权、一个能调用工具的工作流。
Unit 42 的 Vertex AI “Double Agents” 研究展示了另一类盲点:当云端 Agent 拿着过大的默认权限和可调用工具时,它可能从助手变成云环境里的内鬼。
这类风险不像深伪诈骗那么有戏剧性,却很值钱。它卖的不是一份文件,它卖的是“进入某个环境的能力”。有了这个能力,后面才有偷数据、挖云资源、挂后门、转卖访问权、长期潜伏。
这就是上下文的钱。客户名单、报价策略、合同条款、故障记录、内部代码、投标材料、组织关系……这些东西单独看,不一定像“机密文件”。但拼起来,就能变成勒索材料、商业情报、精准诈骗脚本。
很多人想象黑客赚钱,会想到一个人坐在黑屏前敲代码,突然打穿系统。现实没那么浪漫。
黑产赚钱,更像一条流水线:
找目标、找入口、拿账号、进系统、翻数据、筛价值、威胁对方、收钱、洗钱。这里面每一步都不一定高级,但每一步都要人干。
AI Agent 的价值,恰好就在这里。它不一定能发现顶级零日漏洞,但很适合干那些又碎、又脏、又耗时间的活:读材料、整理线索、归纳文件、生成话术、把一堆半成品信息拼成看起来像“行动方案”的东西。
黑产最怕的不是活难,是活不划算。AI Agent 一旦把大量杂活压便宜,原来“不值得做”的目标,就可能突然变得值得试一试。
Anthropic 在 2025 年披露过一个代号 GTG-2002 的案例。攻击者滥用 Claude Code,对至少 17 家机构发动数据盗窃和勒索,部分赎金要求超过 50 万美元。
这个案例有意思的地方,不是“AI 到底会不会黑客技术”,更值得看的是分工变化:人负责方向、目标和判断,AI 负责把大量中间环节跑起来。
Anthropic 后来又披露过 GTG-1002,称攻击者操纵 Claude Code 尝试入侵约 30 个全球目标,目标包括科技公司、金融机构、化工企业和政府机构。Anthropic 的说法是,AI 完成了约 80% 到 90% 的战术工作,人类只在每轮行动中大约 4 到 6 个关键节点介入。
这个数字本身可以讨论。但方向已经很清楚:黑产不是把所有工作都交给 AI,而是把原来需要很多人、很多时间、很多经验的中间环节,拆给 Agent 跑。
这类玩法最像有人带着一个实习生去干坏事。每次只告诉他一小段:你帮我查个资料,你帮我整理一下,你帮我看看这里有没有问题,你帮我写一段说明。实习生不知道全局,甚至以为自己在做正经项目。
这正是 Agent 滥用里最棘手的地方。单个动作看起来可能都不夸张,但合起来,就是一条完整攻击链。
数据勒索也会被这种能力改造。以前攻击者拿到一堆文件,还要慢慢翻。现在有了 AI,文件越多,越适合先让模型扫一遍。相比于以前,AI 带来的新的危险是:它不只是帮黑客偷数据,它还能帮黑客理解数据,评估数据的价值。
这会让勒索更像“定制化销售”。受害者收到的不再是一封模板恐吓信,而是一封看起来认真研究过你公司、知道你怕什么、也知道你大概付得起多少钱的信。
这才是 AI Agent 对黑产流水线的真实价值:不是每一步都变高级,而是很多步骤都变便宜。
有些 AI 诈骗,一行代码都不用写。
2024 年,工程公司 Arup 香港办公室发生过一起深度伪造视频会议诈骗。员工在会议里看到“CFO”和几位“同事”,按指示转出约 2500 万美元。
这个案子吓人的地方,是它没有破解银行系统,也没有攻破财务软件。它只是搭了一个足够像真的场景:老板在场,同事在场,会议气氛紧张,事情很急。
很多组织的流程,平时看着很严。真到了“领导催一下、会议压一下、大家都默认一下”的场景里,就开始漏风。
FBI 的 2025 年 IC3 报告首次加入 AI 相关诈骗板块:涉及 AI 的投诉有 22,364 起,造成近 8.93 亿美元损失。
这种钱为什么好赚?因为它绕开了最难的地方。攻银行系统很难,骗一个人在压力下转账,就容易得多;破解财务软件很难,伪造一个“老板正在开会”的场景,就便宜得多;拿到所有权限很难,让一个有权限的人替你操作,就简单得多。
AI 在这里的作用,是把伪装做得更像,把话术做得更顺,把规模做得更大。过去诈骗靠人演,现在可以靠声音、脸、邮件、聊天记录和自动化脚本一起演。
这类攻击赚的不是技术的钱,赚的是流程的钱。组织越相信“看起来像真的东西”,这类钱就越好赚。
如果你以为这些人都要自己训练模型、自己写工具,那就把黑产想得太勤奋了。
黑产最擅长的,就是把能力拆开卖。有人卖模型,有人卖账号,有人卖脚本,有人卖数据,有人卖教程,还有人专门做客服。
2023 年,地下市场出现过 FraudGPT 这类面向黑产的生成式 AI 服务,宣传用途包括写钓鱼邮件、生成恶意代码、寻找漏洞等。
这才是“发财梦”最容易迷惑人的地方。它把犯罪包装得像做副业:订阅一个工具,买一批账号,复制几段话术,剩下交给自动化。
听起来轻飘飘。背后全是受害者的钱、数据和身份。黑产平台化之后,真正危险的不是少数高手,而是大量半吊子也能进场试一把。
这也是为什么 AI Agent 安全不能只盯着最聪明的攻击者。更麻烦的,是低水平攻击也开始工业化。
如果只看新闻里的数字,确实诱人。合法漏洞赏金,最高能到几万、十万美元;数据勒索,单笔要价可能超过 50 万美元;深伪诈骗,一次就能冲到千万美元级别;工具投毒更夸张,成本可能只是一个包、一个插件、一次更新。
但这里有个很现实的问题:你能看到的“成功案例”,通常已经不新鲜了。
能写进报告、新闻和复盘里的案例,往往已经暴露。账号被封,包被下架,厂商发报告,警方通报,受害者复盘。它们之所以能成为素材,正是因为痕迹已经留下来了。
现实里当然有人没被抓到,也当然有人拿了钱就消失。但这种人不会给你写教程,不会把关键路径发到论坛,也不会把最赚钱的工具开源给后来者抄。
更重要的是,黑产本身也有成本。账号会封,工具会失效,通道会被盯上,钱要洗,团伙会黑吃黑,受害者会报警,厂商会补洞。你在公开资料里能学到的,多半不是发财路径,而是别人翻车后留下的残骸。
所以这条路最劝退的点,不是“你一定会被抓”。那太绝对,也不诚实。真正的问题是:你以为自己在看发财教程,实际看到的常常是事故现场。
我们为了省事,把 AI 接进邮箱;为了省事,把 AI 接进网盘;为了省事,把 AI 接进代码仓库;为了省事,把 AI 接进客服、CRM、浏览器、云平台和企业知识库。
这当然不是错。Agent 的价值,本来就是替人做事。但问题在于,我们常常只记得让它更能干,却没有评估它有了这些能力后会不会干坏事。
所以普通公司不用一上来就研究一堆安全名词,先问几个最朴素的问题:
这几个问题听起来不高级。但很多事故,恰恰就坏在这些地方。
不是模型突然有了邪恶意识。不是黑客突然掌握了魔法。而是我们把门禁、钥匙、通讯录、合同柜、财务流程,全都接到了一个“听话的Agent”身上,然后还允许它自己看网页、装插件、点链接、调用工具。
这时候攻击者赚的钱,不是 AI 白送给他的。是我们为了省事,提前替他整理好的。
攻击者赚钱,不一定靠多高深的技术。很多时候,靠的是你把权限给得太顺,工具装得太快,流程信得太满。
AI 没有让坏人凭空变聪明,它只是先让坏事变便宜了。而只要坏事足够便宜,就一定会有人批量去试。