AI讓「低技術駭客」也能洗劫千人

當一個連基本程式碼都不會寫的人，也能在三個月內竊取1,200萬美元——我們對「駭客」的想像，已經過時了。

事件全貌：AI「代勞」的完整犯罪流水線

2026年4月，美國網路安全公司Expel揭露了一起由北韓國家支持的網路犯罪行動。被命名為HexagonalRodent的駭客集團，在短短三個月內感染了超過2,000台電腦，鎖定的目標是參與小型加密貨幣發行、NFT創作與Web3專案的個人開發者，最終竊取的加密貨幣估計高達1,200萬美元。

攻擊手法並不複雜，但執行得相當精準。駭客偽裝成科技公司的招募人員，向開發者發出工作邀約。他們用AI網頁設計工具搭建出外觀專業的假公司官網，讓受害者難以辨別真偽。當受害者進入面試流程後，被要求下載一份「程式能力測驗」的作業檔案——而那份檔案，正是植入了惡意程式的陷阱。一旦執行，受害者的登入憑證便遭竊取，嚴重情況下連加密貨幣錢包的私鑰也難逃一劫。

發現這個集團的是知名安全研究員Marcus Hutchins——他正是2017年終止WannaCry勒索病毒擴散的那個人。他在分析惡意程式樣本時，發現了一個不尋常的細節：程式碼中大量夾雜著表情符號，並附有工整的英文注釋。「程式設計師用電腦鍵盤打字時，幾乎不會特地插入表情符號。這是AI生成程式碼的典型特徵，」Hutchins說。

更令人驚訝的是，這個集團粗心地將自己的基礎設施暴露在外，連他們輸入給ChatGPT和Cursor的提示詞（prompts）都外洩了。從撰寫惡意程式、建立釣魚網站，到設計社交工程話術，幾乎整條攻擊鏈都外包給了AI工具。

這為何是一個結構性問題，而非個案

這起事件真正值得關注的，不是北韓駭客有多厲害，而恰恰相反——他們其實沒那麼厲害，但AI讓這件事變得無關緊要。

Hutchins直言：「這些人沒有能力寫程式，也沒有能力建置基礎設施。AI讓他們做到了原本根本做不到的事。」北韓長期向境外輸出IT人員，讓他們偽裝成其他國籍滲入西方企業。但這些人員中，真正具備高階駭客技術的只是少數。AI的出現，填補了這道技術鴻溝。

廣告

廣告合作

[email protected]

廣告

安全公司DTEX的研究員Michael Barnhart追蹤北韓網路行動多年，他的觀察更為系統性：「北韓把AI當作戰力倍增器，從製作履歷、建立網站、開發漏洞利用工具到測試弱點，全面提速。」北韓甚至在軍事偵察總局下設立了第227研究中心，專門開發以AI為核心的駭客工具，這已不是個別行動，而是國家戰略的一部分。

Anthropic在去年的威脅情報報告中也指出，他們發現北韓IT工作者「似乎無法在沒有AI輔助的情況下完成基本技術任務或專業溝通」。這句話的含義耐人尋味：AI不只是工具，對某些行為者而言，它已是不可或缺的能力補丁。

對華人世界與亞洲市場的意涵

這起事件的地緣政治脈絡，對亞洲讀者尤其值得深思。

台灣、香港、新加坡的Web3與加密貨幣開發社群相當活躍，個人開發者和小型新創團隊密集。這些群體恰恰符合HexagonalRodent的目標輪廓：技術能力強、但未必配備企業級安全防護的個人。台灣的區塊鏈新創生態、香港的虛擬資產監管框架剛起步，這些環境中的參與者，都應將此事件視為直接的風險警示。

從更宏觀的角度看，北韓的網路犯罪所得被認為是其核武計畫的重要資金來源之一。這意味著，每一筆被竊取的加密貨幣，都可能間接涉及東北亞的安全格局。對於關注兩岸關係與區域穩定的讀者而言，這條資金鏈的存在，是一個不容忽視的背景。

此外，值得注意的是中國大陸與其他地區在這個議題上的不同處境。中國大陸對加密貨幣採取嚴格限制政策，境內的Web3活動受到高度管控，這在客觀上縮小了同類攻擊的暴露面。但這並不意味著免疫——北韓IT人員滲透全球企業的手法，同樣適用於在中國大陸境外運營的華資企業和開發者。

各方如何回應

被點名的AI工具提供商反應不一。OpenAI承認其工具對駭客的「價值在於速度與規模」，但強調沒有提供任何「新型能力」，並未說明是否針對本次事件封鎖相關帳號。Cursor表示已封鎖HexagonalRodent的存取，並正與其他模型供應商協調應對。AI網頁設計工具Anima的執行長則表示正與Expel合作識別並封鎖相關用戶。

然而，這種「發現後封鎖」的模式存在根本性的局限：AI工具的數量龐大，一個入口被關閉，攻擊者只需換一個工具繼續。Hutchins的觀察更為現實——這批AI生成的惡意程式碼，在技術上並不難被企業級的端點偵測工具識別，但問題在於，個人開發者通常根本沒有安裝這些工具。「他們找到了一個完全AI生成的惡意程式也能得手的利基市場，」他說。