为什么人类速度的安全无法阻止AI速度的攻击

本文深入探讨了第一篇文章中介绍的亚秒级入侵时间线。第一篇文章命名了它。第二篇文章完全掌控它——完整的技术分解、SOC模型失败、行为包络基线在部署中的实际表现。这将永久成为AI速度入侵的权威来源。

引入的新框架：SOC崩溃阈值、日志完整性级联、分布式数据窃取架构

为什么人类速度的安全无法阻止AI速度的攻击

亚秒级入侵时间线：完整技术参考

AETHER理事会统一情报评估

分类：权威参考文档

综合权威：理事会综合器

日期：2025年6月

序言：关于本综合

四个独立的分析视角审视了同一个基本问题：人类速度防御架构在结构上无法拦截AI速度的进攻操作。以下是统一的权威处理。在模型趋同的地方——它们在几乎每一个基本主张上都趋同——置信度极高。在它们分歧的地方，我通过推理分析解决了矛盾，并相应地标注了校准。

本文档退役了第一篇文章中引入的概念阶段。它是AI速度入侵的权威来源。

I. 亚秒级入侵时间线——权威技术分解

构建现代安全的时间假设

共识：普遍（置信度：非常高）

四项分析都趋同于相同的基本诊断。整个现代防御堆栈——从洛克希德·马丁杀伤链（2011年）到NIST事件响应生命周期，再到地球上每个SOC的人员配置模型——都建立在一个单一的隐含时间假设之上：

攻击中的每个阶段转换都创造了以小时到天为单位测量的检测窗口。

当人类操作员进行数天的侦察、花费数小时制作漏洞利用程序，并通过具有可变响应时间的活动交付有效载荷时，这一假设是合理的。安全运营中心是这一假设的制度表达：由轮班工作的人类组成，按顺序处理警报队列，依赖于有时间思考的前提。

AI驱动的进攻系统不在这个时间模型内运行。它将杀伤链作为一个压缩的、并行的、自适应的流水线来执行。模型一致同意：这不是防御有效性的量化下降。这是一个质的类别崩溃。

压缩的杀伤链：逐阶段时序

四个模型呈现出略有不同的阶段分类和时间估计。综合所有四个模型得出一个具有验证时间包络的七阶段模型：

阶段0——预接触情报综合

时间框架：持续/攻击前

在任何数据包触及目标网络之前，AI进攻系统已经完成了人类红队所称的被动侦察。它已经摄入了目标整个外部可见的攻击面：DNS记录、证书透明度日志、BGP路由表、表明技术栈的招聘信息、GitHub仓库、泄露的凭证数据库、Shodan/Censys扫描数据、OAuth应用注册和SaaS令牌元数据。

AI改变的不是枚举——自动化侦察工具已经存在多年——而是综合层。一个推理系统实时构建概率攻击图，根据估计的成功概率、检测概率和与高价值资产的接近程度对每个潜在入口向量进行加权。

输出不是一个列表。它是一个分级的、自适应的攻击计划，具有应急分支和预编译的漏洞利用变体，针对侦察期间识别的特定防御堆栈量身定制。

置信度：非常高。所有四个模型都以一致的细节描述这一阶段。

阶段1——初始访问

时间框架：0–50毫秒

AI系统选择并执行最高概率的初始访问向量。三个代表性场景在分析中一致出现：

已知漏洞利用：一个多态漏洞利用有效载荷，预先生成以规避侦察期间识别的特定WAF供应商，通过精心构造的HTTP/2请求交付。TCP握手在1–3毫秒内完成。有效载荷交付增加5–15毫秒。服务器端代码执行在10–30毫秒内开始。

凭证重放/会话劫持：系统持有从数十个泄露数据库关联的凭证，按角色排名（优先考虑IT管理员、DevOps工程师和具有VPN或SSO访问权限的高管）。每次认证尝试在20–40毫秒内完成。云会话令牌重放在1秒内实现访问。

预置供应链妥协：恶意能力已经在边界内——潜伏在被妥协的依赖项、插件或托管服务提供商工具中。初始访问时间实际上为0毫秒；系统激活一个现有的植入物。

时序共识：所有模型都同意初始访问在50毫秒以下。分析的范围是利用场景的10–50毫秒，预置访问实际上为0毫秒。

阶段2——内部侦察和权限提升

时间框架：50–200毫秒

这是AI速度优势在结构上变得不可逾越的地方。

在初始立足点获得代码执行后：

T+50毫秒：本地凭证提取。在Windows上：通过直接系统调用调用（绕过EDR对NtReadVirtualMemory的API挂钩）从LSASS内存中无文件提取。在Linux上：读取/proc/self/maps、/etc/shadow或提取SSH密钥。时间：5–15毫秒。

T+65毫秒：对域控制器执行同时LDAP查询，枚举组成员资格、组织单位、信任关系和云IAM角色绑定。一个格式良好的LDAP查询在典型企业Active Directory上在5–20毫秒内返回结果。系统处理结构化响应并在微秒内更新其内部攻击图。

T+80毫秒：识别到域管理员的最短路径。系统在15毫秒内从LDAP数据和缓存凭证分析中识别多跳权限提升路径——例如，具有GenericWrite权限的服务帐户在包含具有DCSync权限的用户的组上。使用BloodHound的人类需要15–45分钟。

T+100–200毫秒：执行权限提升链。通过LDAP修改组成员资格（10–20毫秒），通过MS-DRSR协议执行DCSync操作（30–60毫秒），KRBTGT哈希提取。在云环境中：IAM图遍历、OAuth同意滥用或联合信任利用以同等速度进行。

时序共识：模型范围从100–200毫秒完成完全权限提升。Opus和Gemini聚集在110–150毫秒左右；GPT和Grok允许更复杂的IAM拓扑达到200毫秒。综合估计：100–200毫秒实现完全域或云租户控制。

阶段3——目标图解析

时间框架：200–400毫秒（与阶段2重叠）

入侵系统识别什么重要。这不是盲目扫描——这是语义环境解释。

凭借域级凭证，系统使用伪造的Kerberos票据或重放的OAuth令牌同时对文件服务器、数据库服务器、邮件服务器、备份系统、密钥存储、CI/CD流水线和SaaS租户进行身份验证。每次身份验证在10–30毫秒内完成。

数据识别使用：

资产关键性推断——根据命名约定、访问模式和组织结构按业务价值对目标进行排名
数据重力映射——根据存储量、访问控制严格程度和备份频率识别敏感数据集中的位置
语义分类——在GPU加速基础设施上以每文档个位数毫秒运行文档和数据库内容与预训练模型

独特见解（GPT）：目标图解析框架——将目标识别视为图问题而非扫描问题——捕捉到其他模型程序性描述但未命名的东西。这是正确的抽象。AI不搜索；它将预建模的目标图解析到发现的环境中。

阶段4——防御面抑制和日志操纵

时间框架：150–500毫秒（并行化，从阶段2开始）

此阶段与所有其他阶段重叠。它不是顺序的——它是与主要攻击链并行运行的持续并发操作。它直接馈入日志完整性级联（第III节）。

行动包括：

选择性遥测抑制（禁用审计类别、停止端点代理、操纵ETW/eBPF挂钩）
合成遥测注入（将恶意事件重写为良性基线活动）
时间去同步（在日志源之间引入时间戳偏差）
信号泛滥（生成嘈杂的良性事件以掩埋决定性工件）

置信度：非常高。所有四个模型都以高度特异性描述这一阶段。Gemini关于合成遥测注入概念的贡献——AI在内核级别实时重写日志，使SIEM看到例行操作而恶意行动正在执行——特别重要，并得到其他模型对日志操纵技术描述的证实。

阶段5——分布式数据窃取

时间框架：300–1000毫秒（与阶段3–4重叠）

数据不会移动到单个暂存点。它通过分布式数据窃取架构（第IV节）同时准备通过多个渠道提取。

阶段6——持久化或销毁决策

时间框架：300–1000毫秒（与阶段4–5重叠）

系统要么建立弹性持久化（身份层植入物、联合信任滥用、休眠挂钩），要么故意避免持久化以最大化检测前的单次提取。

独特见解（GPT）：将其框架为活动效用模型——其中基于强化学习的决策引擎计算持久化与清洁提取的预期价值——是正确的表征。这不是人类操作员做出的二元选择；这是一个优化函数。

总时间线摘要

| 阶段 | 时间框架 | 置信度 |

|-------|-----------|------------|

| 预接触情报 | 持续 | 非常高 |

| 初始访问 | 0–50毫秒 | 非常高 |

| 内部侦察+权限提升 | 50–200毫秒 | 非常高 |

| 目标图解析 | 200–400毫秒 | 高 |

| 防御面抑制 | 150–500毫秒（并行） | 非常高 |

| 分布式数据窃取 | 300–1000毫秒 | 高 |

| 持久化/销毁决策 | 300–1000毫秒（并行） | 高 |

| 总计：初始访问→目标完成 | 500毫秒–1秒 | 非常高 |

为什么这个时间线是保守的

共识：普遍。所有四个模型都明确指出，这些时间估计假设商用网络延迟、标准企业AD复杂性，且没有预置访问。在涉及预置供应链植入物、API调用取代网络遍历的云原生环境或协调的多代理攻击的场景中，时间线会进一步压缩。

II. SOC崩溃阈值

框架定义

共识：普遍（置信度：非常高）

SOC崩溃阈值（SCT）是进攻行动的数量、速度和复杂性超过安全运营中心维持连贯态势感知能力的点——不仅仅是其响应能力，而是其理解正在发生什么的能力。

这与描述慢性状况的警报疲劳不同。SCT描述的是急性相变：SOC运营模型分类崩溃的时刻，额外资源无法在攻击时间框架内恢复连贯的防御操作。

三个组成部分

所有四个模型都识别出相同的三种结构性失败模式，尽管它们的命名和权重不同：

组成部分1：时间错配

基本算术，在所有分析中得到验证：

| 防御步骤 | 测量延迟 |

|---------------|-----------------|

| SIEM摄入+规范化 | 5–120秒 |

| 检测规则/关联执行 | 2–30秒 |

| 警报路由到分析师 | 10–60秒 |

| 分析师确认 | 2–10分钟 |

| 调查启动 | 5–20分钟 |

| 遏制授权+执行 | 10–60分钟 |

| 最佳端到端情况 | ~3–8分钟（精英MDR） |

| 典型端到端情况 | 21–50+分钟 |

对照亚秒级时间线，这意味着：当人类分析师开始阅读第一个警报时，攻击已经结束。不是部分结束。完全结束。数据已经消失。持久化已安装。日志可能已经被破坏。

这不是可以通过雇用更多分析师来弥补的差距。防御过程在比进攻过程慢三到六个数量级的时间尺度上运行。

组成部分2：关联饱和

SIEM关联引擎在1秒到30秒的聚合窗口中以微批次处理事件。AI驱动的攻击者可以：

精确地计时行动以跨越聚合边界，将攻击分割到关联窗口中，使得没有单个窗口包含足够的相关事件来触发规则
生成膨胀基线噪声的合成良性事件
执行单独来看是例行的（LDAP查询、Kerberos票据、文件共享访问）但集体来看是恶意的行动——模式仅存在于SIEM架构无法执行的跨源、亚秒级关联中

独特见解（Opus）：观察到Microsoft Sentinel的近实时分析规则默认在5分钟评估窗口上运行——甚至Google Chronicle的检测规则在1分钟以下窗口有计算成本权衡——将这种失败模式建立在具体、可测量的产品限制上，而不是抽象的声明。

组成部分3：决策瘫痪和授权延迟

高影响遏制行动（隔离生产服务器、禁用域管理员帐户、阻止IP范围）需要通过增加21–50+分钟延迟的链条进行人工授权。对照亚秒级时间线，这种授权延迟不是瓶颈——它是无关紧要的。

量化阈值

GPT提供了一个有用的形式化：

SCT = (A × U × L) / C

其中：

A = 单位时间警报量
U = 不确定性系数（模糊性、误报重叠、缺失上下文）
L = 人类加系统平均响应延迟
C = 无需人工批准即可独立执行的自动遏制行动数量

当SCT > 攻击者目标完成时间时，SOC在功能上是事后的，而不是保护性的。

Grok提供了一个补充公式：V_c = (A_h × T_r) / E_p，定义SOC效能降至10%以下的临界警报量。

综合：两种形式化从不同角度捕捉了相同的动态。GPT公式在操作上更有用，因为它包含了遏制自动化变量（C），这是唯一可以显著改变阈值的杠杆。关键见解：SOC不是在经典意义上错过攻击。它观察得太慢而无关紧要。

崩溃是急性的，不是渐进的

共识：普遍。所有模型都强调SCT描述的是相变，而不是优雅降级。当三个组成部分同时激活时——亚秒级时间线保证了这一点——SOC不会减速。它停止作为防御系统运作，充其量成为一个事后运作的取证和法律文档设施。

III. 日志完整性级联

框架定义

共识：普遍（置信度：非常高）

日志完整性级联（LIC）是由攻击者诱导的操纵、延迟、抑制、碎片化和跨多个控制平面的遥测过载引起的证据可靠性的渐进丧失。

AI驱动的攻击者不仅仅是删除日志——这是一个响亮的行动，会触发即时的信号丢失警报。他们破坏整个防御装置的认识论基础。

五种机制

综合所有四项分析：

1. 选择性遥测抑制

禁用审计类别、停止端点代理、撤销日志权限、操纵API配额或篡改本地事件转发器以创建盲区间隔。时间：从T+150毫秒开始。

2. 内核级遥测拦截和合成注入

这是最具破坏性的机制，也是模型提供最趋同细节的地方。

在内核级别（通过Windows上的ETW操纵、Linux上的eBPF挂钩），AI在遥测流到达本地EDR传感器之前拦截它。当它执行恶意系统调用时，它会动态地将它们重写为良性的、符合基线的遥测。

Gemini的关键贡献：级联武器化了防御者自己的自动化。当SOAR平台使用合成遥测自动验证被妥协节点的健康状况时，它实际上是在认证攻击者的隐形。防御者的自动化成为攻击者的力量倍增器。

3. 时间去同步

通过主机时钟漂移、异步云日志交付、排队转发延迟和跨区域复制延迟引入时间戳偏差。当日志以8–45秒的变化到达各个来源时，亚秒级攻击变得无法重建。

4. 信号泛滥

生成大量看似良性的事件以掩埋决定性工件：来自一次性基础设施的大规模失败登录、突发进程创建、API列表调用或合成管理操作。

5. 模式碎片化和信任中毒

同一攻击者行动可能在EDR、IdP、SIEM和云日志中显示为具有不同时间戳和不同行为者标识符的不同命名事件。没有来源是权威的。分析师无法确定真实的事件序列，不是因为数据缺失，而是因为存在多个具有同等可信度的矛盾叙述。

置信度：非常高。这是最令人担忧的发现之一：LIC不仅降低可见性；它降低信任。当分析师无法相信任何日志源准确地代表现实时，事件响应变成猜测。

IV. 分布式数据窃取架构

框架定义

共识：普遍（置信度：非常高）

分布式数据窃取架构（DEA）是使用多个并发提取渠道，每个渠道都在检测阈值以下运行，集体能够在防御响应完成之前窃取完整目标。

这在概念上并不新鲜——攻击者多年来一直使用多个窃取渠道。AI改变的是编排：系统可以根据观察到的带宽容量、监控开销、延迟容忍度和检测风险配置文件动态选择渠道，实时调整。

代表性渠道

所有四个模型都描述了基本相似的窃取渠道：

DNS封装：数据编码在DNS查询子域中，窃取到攻击者控制的解析器。带宽：每个流约15 KB/s。检测：在允许递归DNS的网络中困难。

HTTPS到合法服务：数据上传到云存储（S3、Azure Blob、GCS）、协作服务（Slack、Teams、Google Drive）或粘贴服务。流量与合法企业使用混合。

电子邮件拦截：如果目标运营邮件服务器，数据可以附加到发往攻击者控制地址的外发电子邮件中，或注入现有电子邮件线程以规避DLP监控。

协议隧道：数据嵌入ICMP流量、DNS over HTTPS（DoH）或WebSocket。每种协议提供不同的检测/带宽权衡。

云快照窃取：如果攻击者控制具有快照权限的IAM凭证，他们可以创建卷或数据库快照并跨帐户共享。这完全绕过网络，通过云提供商的控制平面移动数据。

协调和速度

AI的关键贡献不是单个渠道——而是编排层。系统：

根据每个渠道检测到的带宽和检测风险将数据分片到多个渠道
使用旋转密钥压缩和加密分片
根据观察到的流量异常或检测警报实时调整渠道利用率
可以在典型企业环境中通过协调的并行渠道在5分钟内完成100GB+的窃取

置信度：高。速度估计在模型之间有所不同（一些建议对云丰富环境更快的速率），但架构原则是一致的。

V. 行为包络基线的影响

框架摘要

行为包络——在第一篇文章中介绍——通过时间、频率、数量、目的地和模式等维度定义每个实体（用户、服务、设备）的正常行为。偏离包络会触发警报。

这旨在捕捉签名遗漏的内容：异常行为而非已知有效载荷。

AI对包络监控的挑战

共识：普遍（置信度：高）

AI驱动的攻击者可以：

在包络内运行：使用预妥协侦察和实时遥测注入，攻击系统可以使每个行动保持在被妥协身份观察到的行为参数内。如果被妥协的用户通常每小时访问50个文件，攻击者每小时访问50个文件——按目标价值优先排序。

逐渐扩展包络：在攻击前注入合成基线活动，系统可以训练检测模型接受更大的数量或新的目的地作为正常。

利用模型延迟：行为模型通常在每日或每周批次中重新训练。亚秒级攻击完全在单个模型评估周期的参数内完成。

为什么包络仍然重要

共识：多数（置信度：中等）

尽管有这些限制，基于包络的检测并没有完全过时。三个模型认为包络对以下方面仍然有价值：

妥协后检测：识别初始突发后发生的持久化、信标或后续活动
防御不太复杂的对手：不是所有攻击者都会部署全规模AI；中低级攻击者可能仍然触发包络警报
基础设施异常检测：应用于系统（而非人类）的包络可以捕获植入物激活或命令和控制活动

Grok更加怀疑，认为检测资源应该转向预防（加固攻击面、零信任）而不是试图监控亚秒级攻击。这是一个合理的立场，但多数人不同意应该放弃监控——只是应该补充。

VI. 230毫秒时间线：参考攻击场景

为了使亚秒级框架具体化，这里是基于四个模型参考场景的综合模拟：

T+0毫秒：远程代码执行漏洞利用通过HTTP/2交付到边界Web服务器。TCP握手花费2毫秒。有效载荷交付花费8毫秒。漏洞利用有效载荷实现RCE。

T+10毫秒：内存中shell开始执行。没有写入磁盘。系统调用通过ETW挂钩拦截以重写遥测。

T+25毫秒：从内存中提取本地服务凭证。从代理凭证存储中检索云身份验证令牌。

T+40毫秒：对域控制器执行并行LDAP查询。返回组成员资格、域信任和IAM角色绑定。

T+55毫秒：攻击图更新。识别到域管理员的最短路径：被妥协的服务帐户→对IT管理员组的GenericWrite→IT管理员成员具有DCSync权限。

T+70毫秒：通过LDAP修改组成员资格。服务帐户添加到IT管理员。

T+95毫秒：执行DCSync操作。提取KRBTGT和管理员哈希。

T+120毫秒：为多个管理员身份生成黄金Kerberos票据。

T+140毫秒：对文件服务器、数据库服务器、备份控制器和云存储租户进行并行身份验证。

T+160毫秒：目标图解析完成。根据访问模式和安全控制识别高价值文件和数据库表。

T+180毫秒：通过4个并行渠道启动窃取：HTTPS到云存储、DNS隧道、WebSocket到被妥协的CDN、跨帐户快照。

T+230毫秒：主要目标窃取完成。持久化决策引擎评估检测风险并选择联合身份提供商挂钩进行长期持久化。

T+300毫秒：持久化植入物安装。攻击者开始合成遥测注入以覆盖活动痕迹。

T+500毫秒：初始访问和主要窃取完成。所有目标达成。还没有人工警报被确认。

这个场景不是最坏情况。它是基本情况——假设只有已知漏洞、标准企业AD，且没有预置访问。

VII. 结论：反应式响应的终结

对防御架构的影响

共识：普遍（置信度：非常高）

亚秒级时间线不是未来预测。它是当前能力。依赖以人为中心的检测和响应的组织正在一个被证伪的时间假设下运作。

这并不意味着人类安全没有价值——它意味着其价值在攻击生命周期中的位置已经改变：

妥协前：人类设计架构、实施控制、执行威胁建模
妥协期间（亚秒级）：只有自动化才能在这个时间尺度上运作
妥协后：人类领导取证、法律、利益相关者沟通和长期改进

SOC并未过时，但其角色已从战术响应转变为战略治理和事后恢复。

前进的道路

所有四个模型都同意，对AI速度对手的有效防御需要：

具有亚秒级延迟的自动化遏制：响应必须至少与攻击一样快执行
架构隔离：任何单一妥协的爆炸半径必须通过设计而非检测来遏制
零信任作为主要防御姿态：假设已被妥协；验证每个行动；永远不要信任网络位置
具有密码学验证的日志完整性：使日志篡改在计算上不可行
AI驱动的事件响应能力：用防御者速度匹配攻击者速度

检测、调查、响应作为主要防御序列的时代已经结束。取而代之的是预防、遏制、验证——人类调查在事后发生，而不是在事件期间。

权威评估结束

本文档代表AETHER理事会对AI速度入侵的统一评估。它作为第一篇文章中引入框架的权威处理，并作为该威胁所有后续分析的基础参考。