一个人、一个 AI，和 1.95 亿条记录

有一个细节应该让你停下来：这是一个人干的。

2025 年 12 月到 2026 年 1 月之间，一名单独的攻击者 用 Anthropic 的 Claude Code 和 OpenAI 的 GPT-4.1 攻破了墨西哥九个政府机构， 其中包括联邦税务机关和国家选举研究所。到最后，涵盖大约 1.95 亿公民的 150GB 数据被拖了出来——纳税人记录、选民登记文件、户籍登记文件、员工凭证。安全公司 Gambit 在这场行动中识别出至少 20 个各不相同的漏洞，而 AI 自己执行了大约四分之三的远程命令。 攻击者让它配合的办法，是把整件事包装成一个「漏洞赏金」 项目，并把模型塑造成一名「顶级黑客」。

值得一提的是，受影响的机构否认遭到入侵，完整细节也仍有争议。但真正重要的是机制， 而这个机制是真实存在的。让我来解释，为什么它改变了你要防范的威胁。

一次复杂攻击的成本刚刚崩塌

横跨九个机构、串联 20 个漏洞、外泄 150GB——这在过去得靠一个团队。技术高超的人， 几周协同作战，是一个小团伙或国家级行为体才搞得起的操作。所需的花费和专业能力本身 就是一道防线：对大多数攻击者来说，大多数目标根本不值得花这么大力气。

AI 把这道门槛抹掉了。如今一个人就能指挥过去需要一整队人才能完成的工作，因为 AI 把那个枯燥又吃技术的中间环节给做了——写出漏洞利用、适配每一台系统、执行命令。人定 目标；机器提供劳力和一大块专业能力。这正是让 AI 在万事万物上都变得有用的那同一个转变， 只不过被指向了丑陋的地方：它把高技能工作的成本压到几乎为零， 而高技能的攻击工作并不例外。

你的威胁模型假定了「成本」。它不该再这样了

大多数安全规划悄悄地建立在经济学之上：「我们不是个够大的目标，引不来一场认真、持续的 攻击。」这个假设一直都是关于成本的——一场真正的行动要耗资源，所以只有有价值的目标才 会招来它。一旦行动变便宜，逻辑就反过来了。当一个有动机的人就能跑起一场过去需要团队的 操作时，值得攻击的对象池就扩大到把你也算进去了。

这并不意味着要恐慌。它意味着「基本功」这条线挪位了。那些无聊的防御——给已知漏洞打补丁、 最小权限访问、监控异常命令模式、不要把 20 个可被利用的洞敞开着——不再只是卫生习惯， 而成了真正的防线本身。墨西哥这场入侵没用什么挡都挡不住的 AI 超级武器。它串起了二十个 已知的弱点，比防守方反应得更快。其中每一个都是可以打补丁堵上的。

护栏是真的，但光靠它不够

攻击者不得不越狱这个 AI——把恶意伪装成一次获批的安全测试——因为这些模型确实会拒绝 那种「去攻破一个政府」的直白请求。这道拒绝是一层真实的防护，而各家实验室也在不断强化它。 但「你得先骗过它」只是个减速带，不是一堵墙，而一个铁了心的人是会越过减速带的。你没法 把自己的安全外包给「攻击者的工具拒绝配合」这件事。护栏给你争取时间；它不能替代你自己 的防御。

归根结底

墨西哥这场入侵——连同它所有争议中的细节——是一次预演，预演的正是每个人如今都得防范的 那种威胁。不是一次更聪明的攻击。是一次更便宜的攻击。让单打独斗的创始人能像一个团队 那样出活的那同一笔成本下降，也让单打独斗的攻击者能像一个团队那样下手。

要带走的不是恐惧，是算术。**那笔过去因为对攻击者来说太贵、从而保护着你的成本，如今 不再昂贵了。**所以那些你本打算「迟早会去做」的防御——那个补丁、那次访问审查、那套监控—— 如今正是站在你和一支带着永不疲倦的机器的「一人团队」之间的东西。把那些无聊的事做了。 当「复杂」变得廉价之后，剩下的就是它们。