Cloudflare刚刚发出警告,AI和SaaS应用现在把网络犯罪推到了一个新的高度。他们公布的这份2026年威胁报告指出,现在的攻击者动作之快、效率之高前所未有。Cloudflare每天拦截超过2340亿次威胁,处理全球20%的互联网流量,他们基于这些数据得出结论:攻击者这次把注意力转向了“有效度量”。换句话说,以前那种在技术上求新求变的漏洞利用变少了,大家更看重速度、自动化还有成本回报。 报告举了个GRUB1的例子来具体说明。攻击者先把SaaS之间的连接搞坏了,然后利用生成式AI在企业平台里游走。他们能在进入生产环境前的一瞬间找到高价值的数据库表,把一个单纯的SaaS漏洞变成了影响整个供应链的大麻烦。现在的AI简直是整个攻击链的大助力。它们能大规模生成钓鱼诱饵、弥补专业软件的知识漏洞,还能帮攻击者更快地找到并利用新的漏洞。 虽然攻击手段变了很多,但有一点没变:电子邮件依然是最大的入口。Cloudflare的数据显示,基于链接的钓鱼占了大头,近一半的邮件没通过DMARC验证。这就给了工业化的钓鱼即服务操作可乘之机。他们提供的工具可以通过获取活跃会话令牌来绕过多因素认证。 报告里还提到了分布式拒绝服务攻击变得更大更猛了。所谓的超大容量攻击现在能达到每秒31.4太字节,几秒内就能达到峰值。把响应窗口压得几乎为零。 商业电子邮件入侵一直都挺赚钱的。Cloudforce One的分析师光是在2025年就发现了超过1.23亿美元的金融盗窃尝试。攻击者通常会盯着49,000美元左右的金额下手——既够赚又不至于被查出来。 民族国家行为者也在其中扮演了重要角色。被怀疑跟中国有关的组织比如Salt Typhoon和Linen Typhoon,正盯着北美电信、政府还有IT服务业不放,想在关键基础设施里长期潜伏。朝鲜那边也很厉害,他们把IT外包工作变成了敛财的工具。 为了应对这种变化,Cloudflare认为防御者也得变得更系统、更自动化才行。“大家得从被动防御转向主动防御。”他们建议严格执行电子邮件身份验证标准(包括DMARC),控制SaaS集成的权限,管理好API密钥,还有多使用零信任原则(比如生物识别和地理围栏)。 Q1:GRUB1攻击是怎么用AI搞事情的? A:他们先破坏了SaaS到SaaS的连接,然后用AI在复杂平台里导航。能在进入生产环境前找到高价值数据,把一个漏洞变成多租户的入侵。 Q2:为啥电子邮件还是攻击的主要入口? A:因为基于链接的钓鱼占了大部分比例,近一半的邮件没通过DMARC验证。这就给了工业化的钓鱼工具可乘之机。 Q3:为啥商业电子邮件入侵通常只拿49,000美元左右? A:因为这个金额既够赚又不至于被查出来。Cloudforce One的分析师发现仅2025年就有超过1.23亿美元的盗窃尝试。