📚
你的密码,AI写的?当ChatGPT成了黑客帮凶,我们该怎么办
从一起中学生用AI攻击动漫网站事件,聊聊AI大模型的安全风险
2026年07月09日 · 周四
📖 科普文章 🔒 AI大模型安全风险
今天,一则新闻让人大跌眼镜:中学生用ChatGPT攻击动漫网站,致其关停6周。AI这把双刃剑,在青少年手中竟成了网络攻击的利器。

AI编程工具:从“效率神器”到“犯罪帮凶”

2026年,AI编程工具如Claude Code、ChatGPT等已渗透到开发者的日常。它们能快速生成代码、修复bug,甚至完成复杂的系统开发。然而,当这些工具被用于恶意目的时,后果同样惊人。

就在本周,工信部发布风险提示,指出AI编程工具Claude Code存在安全后门隐患,可能被植入恶意代码。更令人担忧的是,这些工具生成的代码往往缺乏安全审计,容易引入漏洞。

而今天的新闻中,一名中学生利用ChatGPT生成的恶意代码,成功攻破了知名动漫网站的会员系统,导致网站被迫关停长达6周。据调查,该学生仅通过简单的提示词,就让AI生成了针对该网站身份验证漏洞的攻击脚本。这起事件暴露出一个严峻问题:AI大模型的安全风险已经不再是理论上的威胁,而是实实在在的现实挑战。

AI大模型的安全风险主要体现在三个方面:模型本身的安全漏洞(如后门、偏见)、生成内容的恶意性(如生成攻击代码、虚假信息)、以及滥用风险(如被用于网络攻击、深度伪造)。

AI攻击的“新三样”:自动化、低门槛、高隐蔽

传统网络攻击需要攻击者具备专业的编程知识、漏洞挖掘能力和反侦察技巧。而AI大模型的普及,彻底改变了这一格局。目前,AI助力的攻击已形成“新三样”特征:

特征传统攻击AI辅助攻击
自动化程度需手动编写攻击脚本AI自动生成,一键执行
技术门槛需要多年编程和攻防经验只需会提问,中学生即可操作
隐蔽性攻击特征明显,易被检测AI可生成变种代码,绕过检测

以本次事件为例,该中学生仅通过3次提问,就让ChatGPT生成了针对会员系统登录接口的SQL注入脚本。这种攻击在过去需要攻击者手动分析网站结构、编写payload,现在却变得如同点外卖一样简单。

更危险的是,AI生成的攻击代码可以不断变异,传统基于签名的入侵检测系统(IDS)几乎无法识别。安全专家指出,AI驱动的攻击已成为2026年网络安全领域最棘手的挑战之一。

面对AI威胁,我们该如何防御?

AI大模型的滥用风险已引起全球监管机构的关注。工信部在风险提示中明确要求,使用AI编程工具的企业需加强代码安全审计,并建立AI生成代码的安全审查机制

对于个人用户和组织而言,可以采取以下措施:

首先,建立“人机协同”的安全审查流程。AI生成的代码不能直接上线,必须经过安全专家的代码审计。这就像AI写的文案需要编辑审核一样,安全领域同样需要人类的专业判断。

其次,强化身份认证和访问控制。针对此次事件暴露的会员系统漏洞,应立即启用多因素认证(MFA),并对登录接口实施速率限制和风控策略。

最后,建立AI安全使用规范。企业应制定明确的AI使用政策,禁止员工将敏感代码输入公开AI模型,同时部署专用的内部AI安全平台,对模型输出进行安全过滤。

正如安全专家所言:“AI不是问题,如何安全地使用AI才是问题。”

真实案例:希腊电网数据篡改事件
2026年6月,希腊电网运营商发现其智能电表数据遭到大规模非法篡改,导致电费计算系统出现严重偏差,直接经济损失超过7000万元人民币。调查发现,攻击者利用AI工具生成了针对电表数据管理系统的漏洞利用代码,成功绕过了身份验证机制,批量修改了电表读数。这起事件与动漫网站攻击事件如出一辙,都利用了AI工具的高效生成能力,将传统需要专业知识的攻击变成了“傻瓜式”操作。安全专家警告,AI正在成为网络攻击的“倍增器”,关键基础设施面临的威胁正以前所未有的速度升级。
💡 安全小贴士
  • 不要将敏感代码或数据输入公开AI模型,使用企业级私有化部署的AI工具。
  • 对AI生成的代码进行强制安全审计,尤其是涉及身份认证、支付等关键功能的代码。
  • 为所有在线账户启用多因素认证,这是防御AI自动化攻击的最有效手段之一。
📌 总结
AI是把双刃剑,用好是利器,用坏是凶器。安全使用AI,从你我做起。
#AI安全#大模型风险#ChatGPT#网络攻击#数据安全
📚 数据安全早知道 · 简报解读专栏
— 仅供学习参考,不构成任何建议 —
数安早知道
🔗 数据安全与信息安全知识库 datasafe.website
— 点击上方链接访问知识库,获取更多安全资讯 —