Cloudflare公司今日发布的一份新报告警告，网络犯罪已达到全面工业化规模，攻击者正在武器化互联网的开放性以及云平台和软件即服务平台的连接组织，其行动速度和效率前所未有。

这份首个2026年Cloudflare威胁报告基于处理全球超过20%互联网流量并每日阻止超过2340亿威胁的网络遥测数据。报告预测，2026年将奖励隐秘性而非表演性，威胁行为者不再追求技术上优雅的漏洞利用，而是优化"有效性度量"，优先考虑速度、自动化和努力回报。

报告提供了各种例子来支持其观点。在一个被追踪为GRUB1的攻击活动中，攻击者破坏了一个可信的SaaS到SaaS连接，然后使用生成式AI实时导航复杂的企业平台。攻击者在进入生产环境前的瞬间识别高价值数据库表，将单一集成转变为具有供应链影响的多租户入侵。

报告补充称，大语言模型现在是整个攻击链的力量倍增器。它们被用于大规模生成钓鱼诱饵，弥合专业企业软件的知识差距，并加速漏洞利用开发。

虽然攻击路径的某些方面在演变，但其他方面保持不变，报告发现电子邮件仍然是主要的入口点。

基于链接的钓鱼占Cloudflare数据集中检测量的最大份额，近一半的分析邮件未通过基于域的消息身份验证、报告和一致性（DMARC）验证，暴露了报告描述的持续身份验证差距。Cloudflare表示，工业化的钓鱼即服务操作正在利用这一弱点。它们提供可以通过获取活跃会话令牌而非静态密码来绕过多因素身份验证的交钥匙基础设施。

在基础设施方面，报告详述了分布式拒绝服务攻击变得更大且更快。所谓的超大容量攻击现在达到每秒31.4太字节的基准线，并在几秒钟内达到峰值，将响应窗口压缩到接近零。

研究发现，商业电子邮件入侵继续提供可靠回报。Cloudforce One分析师仅在2025年就识别出超过1.23亿美元的明确金融盗窃尝试。攻击者始终将目标锁定在49,000美元左右的请求——足够大以获得利润，但通常足够小以逃避审查。

报告还详述了民族国家行为者的作用。被指控与中国有关的组织，如Salt Typhoon和Linen Typhoon，正在优先考虑北美电信、政府和信息技术服务，以便在关键基础设施内进行长期预部署。

研究发现，朝鲜操作员已经工业化了远程IT工作者方案，使用深度伪造技术和美国本土的笔记本电脑农场将收入转移回政权。其他国家行为者将命令和控制流量嵌入可信的云平台中，以融入合法的企业活动。

为了对抗这种转变，Cloudflare认为，防御者必须转向同样自动化、系统级的韧性以跟上步伐。"组织必须从被动的、以基础设施为中心的防御转向主动的、以身份为中心的韧性模型，"Cloudflare研究人员写道。在一个由会话劫持、SaaS供应链滥用和AI加速入侵定义的环境中，身份层而非边界已成为主要战场。

报告的建议包括更严格执行电子邮件身份验证标准。这些措施包括DMARC、发送方策略框架和域名密钥识别邮件，对SaaS到SaaS集成的更严格控制，以及过度特权的应用程序编程接口密钥和零信任原则的扩展使用，包括用于远程访问工具的生物特征验证和地理围栏。

Q&A

Q1：GRUB1攻击活动是如何利用生成式AI进行网络犯罪的？

A：在GRUB1攻击活动中，攻击者首先破坏了一个可信的SaaS到SaaS连接，然后使用生成式AI实时导航复杂的企业平台。攻击者能够在进入生产环境前的瞬间识别高价值数据库表，将单一集成转变为具有供应链影响的多租户入侵。

Q2：为什么电子邮件仍然是网络攻击的主要入口？

A：根据Cloudflare的数据，基于链接的钓鱼占检测量的最大份额，近一半的分析邮件未通过DMARC验证，暴露了持续的身份验证差距。工业化的钓鱼即服务操作正在利用这一弱点，提供可以绕过多因素身份验证的交钥匙基础设施。

Q3：商业电子邮件入侵攻击者为什么经常选择49,000美元左右的金额？

A：攻击者将目标锁定在49,000美元左右的请求，因为这个金额足够大以获得利润，但通常足够小以逃避审查。Cloudforce One分析师仅在2025年就识别出超过1.23亿美元的明确金融盗窃尝试，这种策略为攻击者提供了可靠的回报。