自動化威脅模擬的演進背景與核心挑戰

在當前快速更迭的資安環境中，防禦速度已成為判斷組織韌性的關鍵指標。傳統上，當新的威脅報告或漏洞利用描述發布時，安全團隊必須依賴高度專業且昂貴的工程專家團隊，手動分析技術、工具和程序（TTP），並在內部系統中重新建立攻擊鏈以測試防禦有效性。一個聯邦實驗室旨在提高威脅模擬過程的效率，以便安全團隊能夠更快地測試其係統是否能夠抵禦最新的攻擊。據太平洋西北國家實驗室（PNNL）的一個研究團隊稱，一種名為「用於進攻性啟發式自動化的智慧層級模型」（ALOHA）的人工智慧系統能夠快速重建攻擊並創建變種攻擊以測試防禦措施。

以往這類工作往往需要耗費數週的時間與大量資金投入，且容易因人為疲勞或資源限制而產生防禦缺口。PNNL 資料科學家、ALOHA 專案負責人 Loc Truong 表示，該系統能夠根據威脅報告和描述創建攻擊，PNNL 因此顯著縮短了系統安全防護時間，從數週縮短至數小時。這標誌著資安防禦正從「被動應對」轉向「主動模擬」的技術躍遷。

ALOHA 系統架構與技術集成解析

ALOHA 系統的核心價值在於其高度集成的技術棧，它結合了前沿的大型語言模型與標準化的攻擊框架。該系統主要使用 Anthropic 的 Claude 大型語言模型，並與 MITRE 的開源工具 Caldera 配合使用，實現攻擊者模擬的自動化。Caldera 作為資安社群廣泛應用的開源工具，目前用於測試和開發防禦偵測、原型設計和攻擊研究，以及訓練紅隊。

透過將 Claude 的自然語言理解能力與 Caldera 的自動化執行能力結合，ALOHA 能夠解析非結構化的威脅報告，提取關鍵的攻擊步驟，並將其轉化為可執行的攻擊劇本。研究人員表示，借助該系統，安全團隊可以快速建立攻擊模擬，這些模擬可能包含 20 種不同的策略，並需要數十個步驟。這種層級化的模型設計，不僅能重現已知攻擊，更能透過 AI 的啟發式演算法創造出攻擊變種，全方位檢測防禦死角。

提升紫隊演練效率與防禦閉環

ALOHA 計畫的網路安全研究員 Kris Willis 表示，將 ALOHA 加入組織中可以幫助其紫隊演練工作更加有效。在傳統的資安演習中，紅隊（進攻）與藍隊（防禦）往往存在溝通斷層。ALOHA 不僅會分析威脅報告並制定攻擊者最可能使用的戰術、技術和程序（TTP）手冊，還會針對測試網路、模擬環境或網路靶場進行攻擊測試。

更為關鍵的是，該系統實現了防禦能力的閉環優化。此外，該人工智慧系統還能協助編寫針對系統漏洞的緩解措施，並協助配置防禦系統，以便更好地向組織發出正在進行的攻擊的警報。這意味著 AI 不僅是發現問題的工具，更是解決問題的協作者。Truong 表示：「我們希望能夠快速復現新發現的攻擊，並針對內部系統防禦機制進行測試，看看能否捕獲這種新攻擊。」這種快速迭代的能力對於保護關鍵基礎設施與企業核心資產至關重要。

產業應用現狀與民主化資安的前景

對於已經在日常營運中使用自動化工具的組織而言，ALOHA 的引入幾乎是無縫的。專注於人工智慧的雲端網路安全公司 Aviatrix 的首席產品策略經理 Benson George 表示，MITRE 開源工具 Caldera 的用戶可能會發現使用 ALOHA 相當簡單。他指出，該公司已經在使用 Caldera 進行攻擊者模擬，並計劃試用這個新框架，尤其是在它能改進開源框架中一些較為粗糙的部分的情況下。這顯示出 ALOHA 在商業化應用與提升現有開源生態系效能方面的巨大潛力。

最終，這項技術的願景在於「資安能力的民主化」。Kris Willis 表示，最終，PNNL 研究團隊希望人工智慧能為更廣泛的組織（而不僅僅是高階安全團隊）帶來更多益處。目前，許多中小型組織缺乏足夠的預算來聘請頂尖專家進行長達數週的攻擊模擬。目前的整合方案使該工具能夠完成攻擊模擬和防禦緩解的完整週期。它先運行攻擊程序，然後查看防禦工具的運行情況，接著制定防禦反制措施，之後再次運行攻擊程序，看看防禦工具是否攔截了攻擊。

公平競爭環境的防禦革新

防禦型人工智慧系統可以創造公平的競爭環境。網路安全研究人員在發現新的攻擊後，通常會發布一份威脅報告，其中包含漏洞利用描述、易受攻擊軟體的詳細信息，甚至可能包括一些關於技術、工具和程序 (TTP) 的信息。組織的安全團隊會分析這份報告，但創建一條能夠充分模擬威脅並用於測試防禦措施的攻擊鏈，可能需要數天甚至數週的時間。透過 ALOHA 這類 AI 系統，資安團隊能將寶貴的時間從重複性的手動重建工作中釋放出來，轉而投入更高層級的戰略防禦與風險規劃。

在開發與維運脈絡下，導入此類自動化威脅模擬技術，將能有效應對地緣政治與全球化攻擊的雙重威脅。隨著 AI 與自動化框架的深度融合，未來的防禦體系將不再只是單純的防火牆或偵測系統，而是一個能與攻擊者同步演化、自我優化且具備高度預判能力的智慧防護體。每個團隊，每個大型團隊組織都必須執行這個過程，首先要重現攻擊，這需要一支由技術嫻熟的工程專家組成的團隊，耗時數週，並且需要大量資金才能完成。而現在，這一切都將在數小時內得以實現。