AI工具助平庸北韩黑客窃取数百万美元加密货币

网络安全公司Expel于2026年4月22日披露，一个名为HexagonalRodent的北韩国家支持的网络犯罪组织，利用美国AI工具在三个月内窃取约1200万美元加密货币。该组织通过伪造技术公司招聘网站，诱骗加密货币开发者下载含恶意代码的测试程序，进而窃取其凭证与钱包密钥。

Expel称，该组织在2000多台计算机上安装了凭证窃取类恶意软件，主要目标为小型加密货币项目、NFT创作及Web3开发者。其攻击流程几乎全部由AI辅助完成，包括编写恶意软件、构建虚假招聘网站等，使用的AI工具来自OpenAI、Cursor及Anima等美国公司。

安全研究员Marcus Hutchins指出，该组织技术能力有限，缺乏编写代码与搭建基础设施的能力，但借助AI工具实现了高效攻击。分析发现，其恶意代码中包含大量英文注释与表情符号，此类特征常见于大语言模型生成内容，而非人工程序员典型行为。

黑客在攻击过程中暴露了部分基础设施，泄露了用于生成恶意软件的AI提示词（prompts）及受害者钱包数据库，使Expel得以估算被盗金额。尽管部分钱包可能因硬件安全令牌未被完全盗取，但总价值达1200万美元。

Hutchins认为，AI正帮助北韩实现“网络攻击规模化”，使其能够招募大量非专业IT人员并借助AI执行攻击。Expel估计，HexagonalRodent涉及多达31名黑客。此外，北韩通过“IT工人计划”派遣人员渗透西方科技公司，部分人员在面试中使用AI生成答案、伪造身份，甚至使用深度伪造技术改变外貌。

美国公司OpenAI、Anthropic、Cursor和Anima均确认已检测到北韩黑客使用其AI工具，并采取封禁措施。OpenAI表示其工具未赋予黑客“新型能力”，但“速度与规模”是其关键价值。Anima CEO Avishay Cohen称，公司正与Expel合作全面排查并封禁恶意用户。

Hutchins强调，当前AI在实际网络攻击中的应用远比“未来AI自主发现漏洞”更具威胁性，呼吁安全行业关注现实威胁，而非过度担忧科幻场景。

攻击手法与AI使用细节

- 伪造招聘网站：使用AI设计工具（如Anima）构建虚假公司网站
- 恶意代码生成：通过OpenAI ChatGPT、Cursor等工具编写恶意软件
- 社会工程：AI辅助撰写英文简历、模拟面试问答、生成伪造身份
- 代码特征：大量英文注释、表情符号、非典型编程习惯
- 攻击目标：小型加密货币项目、NFT、Web3开发者

安全厂商响应

- OpenAI：检测并封禁北韩账户，用于伪造IT工人计划
- Anthropic：在报告中确认北韩黑客使用Claude生成恶意软件与技能测试
- Cursor：已封禁HexagonalRodent黑客，正与其他AI提供商沟通
- Anima：与Expel合作调查并封禁恶意用户

背景与长期趋势

北韩网络活动长期被视作“国家支持的犯罪集团”，其目的包括资助核武器项目、规避制裁与建设基础设施。据称，北韩军方侦察总局下属的“227研究室”正专注于AI驱动的网络攻击工具开发。安全专家指出，AI正成为其攻击效率的“倍增器”，加速漏洞利用、恶意软件生成与社会工程操作。

Hutchins警告，AI使北韩能以更低门槛发动大规模攻击，且攻击规模随AI普及而扩大，而非减少攻击人数。他呼吁全球网络安全体系应优先应对当前现实威胁，而非过度关注理论性AI风险。