当攻击者的目标从"数据"转向"电力、温度与控制权",AI时代最关键的物理基础设施正面临前所未有的安全挑战。
一、执行摘要
全球科技巨头正以前所未有的速度建设AI数据中心。但一个被长期忽视的风险正在浮出水面——运营技术(OT)设备中的高危漏洞可能让攻击者直接控制供电、制冷和环境监测系统,在物理层面瘫痪整个数据中心。
关键数据一览:
2025-2026年,安全研究领域接连披露了一系列关键发现:
全球近70,000台OT设备暴露在公网中 仅2025年上半年就披露了670个可能影响OT环境的新漏洞 UPS不间断电源和HVAC空调控制器被发现存在CVSS 9.8的严重漏洞 检测到272,512次OT/ICS相关威胁事件
这些数据指向同一个现实:AI数据中心的物理基础设施,正在成为网络攻击的新靶心。
本报告基于四篇arXiv学术论文及2025-2026年最新行业研究,系统分析AI数据中心OT安全威胁的现状、攻击路径与防护策略。
二、研究背景:OT安全的历史欠账
运营技术(Operational Technology, OT)是直接控制物理设备的硬件和软件系统,包括可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监控系统(SCADA)、人机界面(HMI)等。
在过去几十年中,OT设备的设计和部署始终以功能性和可用性为优先,安全性长期被置于次要位置。
三大结构性缺陷
| 更新困难 | ||
| 默认配置薄弱 | ||
| IT与OT融合 |
核心洞察: OT系统的安全问题不是"新发现",而是长期积累的历史欠账。AI数据中心的快速建设正在加速IT与OT的融合,将这一历史问题推向前台。
对工业控制系统(ICS)和关键基础设施的长期研究不断指出:攻击者已经具备利用OT漏洞影响物理过程的能力。当这些漏洞出现在AI数据中心时,后果将不只是数据泄露,而是直接演变为物理层面的业务中断。
三、OT漏洞全景:暴露在公网中的工业设备
全球暴露态势
Rodda和Mavroudis在2025年8月发表于arXiv的论文中,对公网可访问的OT设备进行了系统性测绘。研究发现,全球范围内存在近70,000台暴露于公网的OT设备,主要集中在美国和欧洲。
▲ 图1: 全球暴露OT设备的协议分布
漏洞数量激增
IBM X-Force的威胁情报数据显示,2025年上半年已披露了670个可能影响OT环境的漏洞,其中11%的CVSS严重性评级为"严重"(9.0-10.0分),21%的严重漏洞已公开漏洞利用代码。
威胁检测数据
Trellix发布的2025年11月OT威胁报告显示,2025年4月至9月期间,其遥测系统检测到272,512次OT/ICS相关威胁,覆盖572个独立客户,同期发生了333起专门针对关键基础设施的勒索软件攻击。
暴露在公网中的具体设备
设备类型 | 暴露数量 | 主要风险 | 来源 |
通用OT设备 | ~70,000 | 固件过时、认证缺失 | [1] |
Rockwell PLC | ~6,000 | 远程操控物理流程 | [7] |
Telnet服务器 | ~800,000 | 明文通信、后门 | [8] |
HVAC/BMS控制器 | 大量暴露 | 远程代码执行 | [3] |
UPS网络管理卡 | 广泛部署 | 认证绕过、关断 | [3] |
▲ 表1: 全球暴露OT设备详情清单
OT安全专家Pascal Ackerman通过Shodan搜索引擎发现: - 近6,000台 Rockwell Automation PLC 可从全球任意位置访问 - 多达80万台 Telnet服务器暴露在公网中
四、数据中心OT攻击面分析
一个现代AI数据中心真正依赖的不仅是计算资源,更依赖电力系统、UPS不间断电源、制冷设备、环境监测系统以及楼宇自动化控制系统——这些共同构成了数据中心的OT网络。
数据中心OT资产全景
系统类别 | 关键设备 | 被攻破后的影响 |
供配电系统 | UPS、PDU、发电机 | 切断电力、宕机 |
制冷系统 | CRAC/CRAH, 液冷CDU | 温度失控、硬件损坏 |
环境监测 | 温湿度传感器、漏水检测 | 篡改告警、掩盖痕迹 |
楼宇自动化 | DDC控制器、BMS平台 | 横向跳板 |
DCIM管理 | 管理平台、网络卡 | 统一遥控所有设施 |
制冷系统:AI工作负载的关键命脉
GPU集群往往运行在高功耗状态,单机柜功耗可达20kW以上。研究表明:
通过计算负载操控发起"热攻击",可使局部热点温度在60秒内上升10-15°C,导致服务器性能下降15-25%,冷却能耗增加30-40%。
Uptime Institute数据显示,13-19%的数据中心严重宕机事件由制冷系统故障引发。
▲ 图4: 制冷系统攻击连锁效应 —— 温度攀升时间线UPS系统:停电等于停机
Claroty Team82在2026年6月披露的 Vertiv Liebert UPS 网络管理卡漏洞(CVSS 9.8) 尤为触目惊心。攻击者如果能够通过互联网访问这些管理卡,可以远程登录配置界面并直接关闭所有由UPS供电的设备。
对于一个AI数据中心而言,这意味着整个设施可能瞬间断电。
五、真实案例与威胁态势
案例一:Vertiv UPS 与 Trane HVAC 漏洞
2026年6月,OT安全公司Claroty的研究团队Team82在SANS ICS安全峰会上披露了两类关键漏洞:
- Vertiv Liebert UPS
:2个CVSS 9.8严重漏洞(认证绕过 + 远程代码执行) - Trane Tracer SC+ HVAC控制器
:5个中等漏洞,可链式利用实现未认证RCE
CISA已就此发布安全公告,建议用户确保设备不可从互联网直接访问。
案例二:AWS中东数据中心遭无人机袭击
2026年3月,伊朗无人机袭击了Amazon Web Services位于阿联酋和巴林的数据中心设施,导致整个地区云服务中断。
世界经济论坛称:这是现代战争中商业数据中心首次成为明确的动能打击目标。
案例三:印尼国家数据中心勒索攻击
2024年6月,印尼国家数据中心遭LockBit 3.0变种"Brain Cipher"攻击,超过210个政府机构受影响。事后审计发现:该中心超过98%的数据未做备份。
案例四:波兰能源部门OT入侵事件
2026年2月,波兰能源部门遭网络攻击,攻击者通过暴露在互联网的边缘设备获得初始访问权限,破坏远程终端单元(RTU),导致失去可视性和控制能力。
威胁态势数据汇总
指标 | 数据 | 时间 | 来源 |
OT/ICS威胁检测 | 272,512次 | 2025 H2 | [6] |
勒索攻击 | 333起 | 2025 H2 | [6] |
OT新漏洞 | 670个 | 2025 H1 | [2] |
严重级漏洞占比 | 11% | 2025 H1 | [2] |
暴露OT设备 | ~70,000台 | 截至2025.8 | [1] |
宕机平均成本 | >$100,000 | 2026调查 | [10] |
六、攻击路径深度剖析
基于现有研究,针对数据中心OT系统的攻击路径可归纳为四大类:
向量一:网络层热操控
Modbus TCP协议在设计中不含加密和认证机制,所有通信均为明文传输。攻击者一旦进入管理VLAN,即可直接向冷却控制器发送任意指令。
攻击流程:Nmap扫描 → mbpoll读取/写入寄存器 → 修改温度设定点使冷却失效
向量二:供应链固件植入
大多数冷却控制器基于BusyBox Linux运行专有固件,厂商常为远程诊断预留后门或使用硬编码凭据。攻击者入侵厂商构建服务器后,设备即成为持久化植入点。
向量三:IoT传感器欺骗
如果MQTT Broker缺乏认证,攻击者可以直接发布伪造的温度读数,诱使控制器降低冷却功率,而实际温度持续攀升。这种攻击路径几乎不留痕迹。
向量四:物理端口与维护接口
许多冷却控制器启动时若检测到控制台线缆连接,会直接进入root shell,完全绕过网络层认证。
▲ 图5: 数据中心OT攻击链全景 七、防护体系与行动建议
1. 网络分段与零信任架构
必须为所有冷却设备创建专用OT VLAN,默认拒绝来自IT VLAN的流量。对OT网络的访问必须通过加固的跳板机。对于Modbus TCP等明文协议,应在BMS服务器和CDU之间建立VPN隧道封装。
零信任的核心原则——"永不信任,始终验证"——应成为OT安全的基础信条。
2. 资产管理与补丁更新
建立数据中心OT资产的完整清单,对固件进行已知CVE扫描。对于确实无法修补的设备,应考虑网络隔离或虚拟补丁方案。
3. 异常检测与行为基线
需要建立物理行为基线:对于给定的计算负载,冷却响应应当是可预测的。如果服务器功率超过10kW但冷却液温度低于18°C且泵速低于20%——这在物理上是不可能的。SIEM系统应纳入此类物理逻辑规则。
4. 物理安全加固
冷却控制器的USB和控制台端口应配备防篡改封条,在软件层面禁用控制台接口。
5. 供应链安全
对关键OT设备执行固件完整性校验,在采购合同中要求无硬编码凭据、定期安全更新、SBOM交付。
6. 应急响应
一旦检测到热攻击,响应必须即时且物理层面。核心步骤:隔离OT网络 → 切换至手动模式 → 物理旁路 → 数字取证。应定期进行热攻击场景的桌面推演。
八、结论:重新定义数据中心的边界
过去十年,网络安全行业一直在讨论"数字世界的攻击"。而今天,一个更根本的问题正在浮现:
如果黑客不再攻击服务器,而是直接攻击服务器赖以生存的环境怎么办?
全球近70,000台暴露在公网中的OT设备、CVSS 9.8的UPS漏洞、272,512次OT威胁检测——这些数据共同描绘了一幅令人警醒的图景。
Claroty CTO Amir Preminger的判断值得深思:
"由于当前的计算需求,任何因数据中心支持系统被攻击而导致的停机,都将对托管在该设施上的人工智能服务造成灾难性影响。"
在AI算力竞赛中,最昂贵的损失可能不是数据泄露,而是一场持续几分钟的停电。
数据中心的物理基础设施,正在成为数字世界的最后一道防线。
参考文献
[1] Rodda M, Mavroudis V. Analysis of Publicly Accessible Operational Technology and Associated Risks. arXiv:2508.02375, Aug 2025.
[2] IBM X-Force. Operational Technology Threat Landscape: Insights from IBM X-Force. 2025.
[3] Waterman S. Data Center OT Flaws Could Help Hackers Kill Power and AC. ISMG / DataBreachToday, Jun 2026.
[4] arXiv. I Can't Patch My OT Systems! A Look at CISA's KEVC Workarounds & Mitigations for OT. arXiv:2510.06951, 2025.
[5] arXiv. Vulnerabilities and Attacks Against Industrial Control Systems and Critical Infrastructures. arXiv:2109.03945, 2021.
[6] Trellix. Operational Technology Threat Report. Nov 2025.
[7] OT Security Research. 6,000 Rockwell Automation PLCs Leaking Critical Infrastructure Secrets on the Public Internet. 2025.
[8] Security Research. 800,000 Telnet Servers Exposed: Complete Security Guide 2025.
[9] RaSEC Team. Thermal Warfare: 2026 Data Center Cooling System Attack Vectors. Jan 2026.
[10] Veridify. Zero Trust Security for Building Management Systems in Data Centers. Mar 2025.
[11] CISA. Schneider Electric EcoStruxure IT Data Center Expert. ICSA-25-203-06, Jul 2025.
[12] World Economic Forum. AI infrastructure critical infrastructure. Apr 2026.
[13] CISA. Poland Energy Sector Cyber Incident Highlights OT and ICS Security Gaps. Feb 2026.
[14] arXiv. The Global State of Security in Industrial Control Systems. arXiv:2111.13862, 2021.
? 关注「James谈安全」,看懂AI时代的每一个安全暗流。