2026年高級威脅趨勢預測

在卡巴斯基全球研究與分析團隊（GReAT）持續追蹤全球超過900個與APT相關的組織及其攻擊行動。每年，我們都會回顧最具代表性、最復雜的攻擊活動，以深入理解威脅格局的演變趨勢。

卡巴斯基大中華區總經理鄭啟良指出，2026 年人工智能正深刻改變網絡安全攻防態勢，關鍵基礎設施、云端、衛星等新場景風險持續升級。面對日趨復雜的安全挑戰，企業應加快構建智能化、體系化縱深防御能力，主動應對新一輪技術變革帶來的安全變革。

AI 將增加溯源難度

生成式 AI 的廣泛使用將使網絡攻擊溯源更加困難。問題的關鍵不一定在于攻擊者制造了更復雜的“假旗”，而在于攻擊者“指紋特征”本身發生了變化。

代碼、釣魚內容以及內部評論將越來越多地由AI工具生成。這類輸出往往中性、標準化，缺乏明顯錯誤、語言特征或個人編程風格。

過去，分析師可以依靠編碼風格或語言指標進行溯源，例如某些語言母語使用者常犯的典型錯誤。但隨著 AI 的廣泛采用，這些信號的可靠性很可能會下降。

基于 Bootkit 和 Rootkit 的植入物使用增加

內核級植入物，包括 bootkit 和 rootkit，在2010年代被廣泛使用，但隨著 Windows引入更嚴格的驅動驗證機制和增強的內核保護措施，其使用率曾一度下降。

然而，最近對這些技術的興趣重新上升。過去，易受攻擊的驅動程序往往主要被用作工具，例如禁用殺毒軟件，而現在，威脅行為者越來越多地將內核級植入物直接嵌入到核心惡意負載中。

內核模式植入物具有顯著優勢：它們以高權限運行，能夠深入監控系統活動，并在低層攔截或操控安全機制。與用戶模式惡意軟件相比，它們更具韌性，檢測和清除難度更大。

與此同時，生成式 AI 降低了開發此類組件的技術門檻。過去，創建 bootkit 或 rootkit 需要對操作系統內部結構有深入了解；而如今，基礎代碼結構和實現指南可以借助 AI 輔助生成，從而減少了使用內核級惡意軟件所需的專業知識。

AI將越來越多地被用于完整開發惡意植入物

過去幾年，AI 已成為強大的開發輔助工具，大幅加快并簡化了編碼任務。然而，AI 助手的廣泛可用性意味著這些優勢不僅限于合法軟件開發者。威脅行為者正在積極將 AI 工具納入工作流程，并且這一做法正在迅速成為標準操作。

大型語言模型（LLM）中嵌入的安全機制，旨在防止生成惡意代碼，但其有效性往往有限，而且可以通過相對簡單的提示詞工程（prompt engineering）手段繞過。因此，LLM 可以用于生成惡意植入物的大部分甚至全部代碼，從初始框架到功能模塊。

AI輔助惡意軟件開發的證據正變得越來越明顯。例如，FunkSec 組織在其行動中大量依賴 AI 輔助工具。其基于 Rust 的惡意軟件集成了數據竊取和加密功能，能夠關閉多個進程、執行自我清理，并包含輔助組件，如 DDoS 功能和密碼生成。另一個案例是 2025 年的 RevengeHotels 活動，其中 LLM 被用于生成很大一部分初始感染器和下載器代碼。

攻擊者將越來越多地利用云平臺進行數據外泄

預計利用合法云服務進行數據外泄的行為將進一步增加。隨著組織加強對網絡活動的監控，向未知或非典型服務器的傳輸更容易被識別為異常，從而引起注意。

為了降低被發現的風險，威脅行為者將越來越多地通過流行的云存儲平臺、文件共享服務以及其他合法基礎設施偽裝外泄活動，使其看起來正常。

勒索軟件攻擊者將越來越多地進行以基礎設施破壞為目標的定向攻擊

此前，基礎設施破壞更多是黑客行為主義者的特征，但現在，這一策略正被以金錢收益為主要目標的勒索軟件攻擊者采用。

在此類攻擊中，攻擊者的目標是擾亂業務運營、阻止組織流程，以增加對受害者的壓力，提高支付贖金的可能性。其核心信息明確：支付越快，數據恢復和業務恢復就越快。

2025年已經出現多起支持這一趨勢的事件，包括對 JLR 和 Asahi Group Holdings的攻擊。

將 AI 代理用作持久化機制

除了軟件開發之外，AI 代理正越來越多地被部署在組織內部，以自動化內部流程和行政任務，這也使其成為有吸引力的攻擊面。

部分 AI 代理解決方案被授予廣泛甚至完全的系統訪問權限。一旦被攻破，攻擊者可能修改系統提示或代理配置，例如，使其在每次啟動時自動下載惡意負載。

攻擊者在繞過安全防護時將更加依賴 AI

過去，攻擊者依靠加密工具（crypters） 來規避殺毒檢測。這些工具并不改變惡意軟件的核心邏輯，而是修改其表現形式，例如通過改變字節結構來保持功能的同時增加檢測難度。

借助 AI，這種方法變得更為靈活。生成式模型不僅可以對代碼進行混淆，還可以對程序進行整體重寫：改變執行語言、架構或通信方式，同時保持預期功能不變。

因此，AI 有可能取代傳統的加密工具，實現對源代碼的更深層次修改。在這種環境下，安全防護解決方案必須更快速地適應不斷演變的惡意軟件形態。

衛星可能成為新的攻擊目標

衛星互聯網的應用日益廣泛，包括在商用航空及其他交通服務中。隨著技術變得更經濟且可擴展，連接系統和用戶的數量持續增長。

這一基礎設施依賴無線數據傳輸和集中化衛星通信節點。因此，衛星及其相關地面站可能成為攻擊者的目標，因為一旦這些系統被攻破，可能同時影響大量用戶和服務。