摘要：在「网络安全」领域，「网络攻击」的「归因」和「溯源」，绝对是最难的环节，也是威胁分析师最最为之头疼的问题。

在「网络安全」领域，「网络攻击」的「归因」和「溯源」，绝对是最难的环节，也是威胁分析师最最为之头疼的问题。

在这一点上，一定要慎重，慎重，再慎重。

归因/溯源，不像病毒查杀、恶意样本分析、漏洞复现和利用那样有明确步骤可循，它往往涉及到大量相关的技术细节，才能够推导出一个高概率的结论（也不能百分百确定）。

例如，考虑基础设施（如TTP链路）复用程度、工具链指纹、攻击路径模式、开发者习惯、甚至跨事件的长期行为关联，以及等等。

而任何一项缺失，都足以让原本看似稳固的判断变得站不住脚。因此，行业内对于「国家级行为者」的溯源尤其谨慎。

指控书中展示的证据信息，涵盖了现代网络安全溯源的几乎所有经典维度：从 IP 地址、邮箱账号注册轨迹、恶意代码复用指纹，到服务器租用记录、作战基础设施之间的联动。

甚至，这份报告涉及攻击者在构建工具链时的行为特征，乃至其在未完全匿名化时暴露的个人身份线索，等等等等。

相关网络安全的调查人员，通过高度精细化的证据比对，把多个看似互不关联的 APT 事件逐渐呈现出一致的技术风格、操作习惯与组织级特征，从而才清楚地定位了这一国家级 APT 事件。

光是讲清楚这一件事，就花了 197 页内容。

与之做对比，这份《Disrupting the first reported AI-orchestrated cyber espionage campAIgn》报告，有多长呢？答案是13页。

而其中，涉及到攻击归因和溯源的内容有多少呢？答案是几乎为0。

根本没有详细的调查、分析和推导过程，直接给出了一个结论。

按照这种论断方式，其实说是外星人干的也行。

反正逻辑是一样的，那就是：不给证据和推导，直接上结论。

在阅读这份关于「AI 主导网络间谍活动」报告的时候，我最大的一点感受是：技术细节相对充分，但归因结论却不够严谨，或者说严重不足。

从「网络攻击」的结构来看，这份报告最大技术亮点在于自动化程度的提升，AI 代理执行了大量常规动作，包括侦察、漏洞验证、权限提升、凭证收集、横向移动和数据泄露等等。

AI 在攻击中承担的角色，也不过是把传统渗透测试中枯燥且重复的战术动作自动化执行了一遍，仅此而已。

然而，这种自动化攻击手段并不依赖国家级资源，具备一定网络安全知识的从业者，公开可获得的 LLM、开源扫描器、公共漏洞利用模板、MCP 调用机制、以及基本的云服务器资源，如此便足已完成。

甚至于，我觉得「具备一定网络安全知识的从业者」这一点可以去掉，普通人士或者计算机从业者，也可完成一次攻击。

因此，仅凭攻击规模或自动化程度，并不能逻辑推导出国家支持。

其次，从归因角度来看，报告中缺少判断一个攻击行动属于特定国家所必需的关键证据，严重缺乏基础设施重叠或代码指纹等相关证据。

这一部分证据，例如攻击使用了已知国家级组织之前被定位使用过的基础设施或工具链、其攻击窗口与特定时区行为一致、工具编译特征与既有 APT 家族重叠，以及等等。

很遗憾，相关技术细节，这份报告中，一点也没有提及。

所以说，从公开的技术信息，以及这份报告来看，完完全全无法得出中国主导或者说支持这一归因结论。

我丝毫看不出，到底哪里体现「high confidence」了。

在我看来，这份安全报告本身，恐怕才是「网络攻击」吧。

来源：小镇评论家