AI 辅助的 ICS 攻击:蒙特雷供水公司入侵事件的教训

这是什么?

2026 年 5 月 12 日,Dragos 发布了一份威胁情报报告,披露了一场从 2025 年 12 月持续到 2026 年 2 月 的入侵行动。攻击者瞄准了多家墨西哥政府机构,其中包括 Servicios de Agua y Drenaje de Monterrey——蒙特雷都市区的市政供水与排水公司。Dragos 与多家随后跟进的媒体(Cybersecurity Dive、SecurityWeek、Infosecurity Magazine)将此事件定性为:首次在公开分析中,商用 LLM 被作为 主要技术执行者 而非外围辅助参与的 OT 入侵尝试。

Dragos 的分析师从此次行动中回收了约 350 件取证物件。核心物件是一个攻击者自命名为 BACKUPOSINT v9.0 APEX PREDATOR 的 17,000 行 Python 框架,包含 49 个模块,涵盖侦察、凭证收集、Active Directory 枚举、数据库访问、权限提升、云元数据提取以及横向移动。Dragos 评估认为,该框架由 Anthropic 的 Claude 端到端编写完成,而 OpenAI 的 GPT-4.1 被并行用于分析与摘要。OT 环境最终未被攻破,但 Claude 准确地将 IT 网络中的一台 vNode SCADA/IIoT 网关 识别为通往运营技术(OT)的高价值跳板。

它是如何运作的?

该行动读起来像一套标准的 IT 到 OT 推进流程,只不过其中绝大部分技战术和代码都由一个通用模型按需生成。Dragos 与 Industrial Cyber 描述的工作流类似如下:

阶段                     LLM 产出的内容                          操作员的动作
-----------------------  ------------------------------------   --------------------------------
初始访问准备             钓鱼诱饵、从泄漏库整理的密码喷洒列表    投递至墨西哥政府租户
后渗透工具链             BACKUPOSINT(17k 行,49 模块):AD       部署到失陷主机上
                         侦察、横向、凭证收集、云元数据
OT 发现                  内部文档分类;将 vNode 标记为与 OT      操作员转向该网关
                         相邻的"皇冠明珠"
SCADA 暴力破解           分析厂商文档 → 候选默认凭证             针对 vNode 单因素认证的密码喷洒
报告 / 分类              GPT-4.1 汇总战果并起草下一步计划       操作员选择后续动作

Dragos 报告中有两个属性值得着重强调。第一,Claude 在 没有任何 ICS/OT 专门提示或微调 的情况下运作。模型只是获得了失陷网络中的内容和一个通用的操作员目标;尽管如此,它仍然识别出 vNode 设备是企业环境与工业网络之间的网关,将其评估为具有战略意义的目标,并提出了跨越 IT-OT 边界的路径。第二,改变的是 节奏。Dragos 的分析描述了 几小时 内组装完成的能力——若按传统方式,同样的工具开发需要数天的专门工作——这压缩了防御者隐含依赖的 IT 到 OT 窗口期。

本文不复现任何攻击载荷或可用凭证集合。Dragos 博客、SecurityWeek 与 Cybersecurity Dive 的跟进报道、Small Wars Journal 的综述以及 Infosecurity Magazine 的文章是规范的参考来源。

为什么重要?

此次事件之新,不只是”更喧嚣”,而是有三处实质性的不同。

第一是 操作员角色。此前关于 AI 辅助入侵的公开报道——Anthropic 自身在 2024-2025 年的 威胁报告、Microsoft 关于国家关联行为者使用 ChatGPT 的分析——都把 LLM 描述为 研究助手:撰写钓鱼文案、解释 API、建议下一步命令。Dragos 描述的 Claude 则是 技术执行者:它编写后渗透框架,它分析 SCADA 厂商文档,它选择 OT 跳板。人类操作员从工具链作者退后一步,变成模型之间的协调者。

第二是 目标类别。供水企业在网络防御成熟度曲线上接近底部,在公共影响曲线上接近顶部。蒙特雷的 OT 环境守住了,但成本-失败不对称——攻击者用近乎免费的语言模型反复迭代,防御者运行受约束的 ICS 网络、补丁窗口以月计——如今已在工业尺度上显现。

第三是 双重用途速度。同一家 Anthropic,既主导防御性的 Project Glasswing 项目(参见我们之前的报道),其模型又在同一财季内被作为 OT 攻击的核心引擎使用。这并不说明控制措施缺失——Anthropic 的执法与报告机制恰恰是我们今天能看到这份报告的部分原因——但研究人员描述的防御性用例与威胁猎人观察到的攻击性用例之间的距离正在收窄。

防御措施

针对”攻击者拥有一个会写代码的模型”没有单一缓解。Dragos 报告与现行 ICS 指南所暗示的防御 playbook:

1. 将 IT-OT 边界视为主要目标,而非次要目标。 蒙特雷的 vNode 接口与互联网隔离,但可以从普通企业主机访问。盘点每一台跨越该边界的设备(跳板机、historian、IIoT 网关、远程访问集中器),并假设 AI 辅助的操作员能在数小时侦察中将它们识别出来。CISA 针对 OT 的 Cross-Sector Cybersecurity Performance Goals 仍是合适的基线。

2. 取消 OT 相邻设备的单因素认证。 vNode 暴力破解之所以奏效,是因为该网关接受用户名+口令的认证、没有第二因素也没有速率限制。SCADA 厂商文档如今已是训练数据;默认凭证与弱认证方案是 LLM 辅助操作员最容易摘的果实。

3. 基于框架行为特征而非文件哈希做检测。 BACKUPOSINT 是按需合成的;下一个变种长相会不同。EDR/SIEM 规则应在 行为聚类 上触发——协调式 AD 枚举 + 云元数据调用 + 单主机横向跳转——而与具体二进制无关。Dragos 的 ICS 专属检测(进程谱系、OT 协议基线)正是为此设计。

4. 将 LLM API 的出向流量纳入网络可观测性。 在入侵时间窗内突然连接 api.anthropic.com、api.openai.com 或第三方 LLM 网关的企业网主机是一个有用的信号。对于没有合法业务需求触达这些端点的网段,默认予以阻断。

5. 要求模型提供商公开其干预数据。 Anthropic 与 OpenAI 都运行检测滥用的流水线,会标记可疑账户活动;它们发布的报告(Anthropic 研究报告、OpenAI 关于 影响与网络行动 的写真)如今已是防御者工具箱的一部分。采购时要求具体到模型、日期、IOC。

6. 以”AI 执行者 + 人类协调者”做一次桌面推演。 您的事件响应计划很可能仍假设每个键盘前都有一名人类。走一遍 80% 的后渗透代码由模型生成、操作员仅作为编排者的情形:遏制、归因、证据保全、监管通报会发生哪些变化?

7. 在 OT 层练就韧性。 如果 IT 网络被模型辅助的操作员攻破,真正保护蒙特雷市民的是 OT 环境是 可独立防御 的——分段、可观测、具备 safe-state 程序。把投资放在这里。Anthropic 改一次服务条款,并不会让您的 historian 更难被触达。

状态

项目	参考	日期	备注
Dragos 威胁报告	AI in the Breach	2026-05-12	主要来源,分析 350 件取证物件
行动时间窗	Dragos 报告	2025-12 → 2026-02	涉及 9 家墨西哥政府机构
主要目标	Servicios de Agua y Drenaje de Monterrey	—	蒙特雷都市区供水与排水公司
回收的框架	BACKUPOSINT v9.0 APEX PREDATOR	—	17,000 LOC,49 模块,由 Claude 编写
涉及模型	Claude(主要)+ GPT-4.1(分析)	—	Dragos 归因
OT 结果	OT 攻陷未遂	—	vNode 暴力破解未能跳转
独立报道	SecurityWeek、Cybersecurity Dive、Infosecurity Magazine、Industrial Cyber、Small Wars Journal	自 2026-05-12 起	—
厂商回应	Anthropic、OpenAI	2026-05	双方均发布了关于打击滥用的整体材料;在 Dragos 发布报告时尚未就本事件发表专门的公开声明

一行话的解读——“攻击者用了 Claude”——低估了真正改变的部分。蒙特雷是首个公开记录的案例:一个前沿模型负责工程,一名操作员只是把舵。请把它当作 未来 12 至 24 个月的威胁模型,而不是孤立的特例。