【新智元導讀】Google周一發佈報告,首次確認犯罪駭客使用AI大模型發現了一個此前未知的零日漏洞,並差點發動大規模攻擊。這件事之所以炸裂,是因為安全界擔心了好幾年的「AI自動挖洞」,終於從理論變成了現實。而在Anthropic的Mythos模型已經找到數千個零日漏洞的背景下,這可能只是冰山一角。
2025年5月12日,Google威脅情報組(GTIG)發了一份報告,內容只有一句話能概括,犯罪駭客用AI大模型,獨立發現了一個零日漏洞,然後寫了一個Python指令碼準備搞大規模攻擊。
Google攔住了。
但這件事的重點根本不在於「攔沒攔住」。
重點在於,網路安全圈喊了好幾年的那個噩夢場景,AI幫駭客自動挖漏洞,現在有了第一個實錘案例。
GTIG首席分析師John Hultquist在接受採訪時稱:
這是冰山一角。這個問題可能比我們看到的大得多,這只是我們能看到的第一個實質性證據。
這個漏洞存在於一個「廣泛使用的開源Web系統管理工具」裡,可以繞過雙因素認證(2FA)。
攻擊者同時還需要拿到有效的使用者名稱和密碼,但一旦兩個條件湊齊,就能直接進入目標的管理後台。
Google沒有透露這個工具的名字,也沒有透露駭客團夥的身份,只說是「知名網路犯罪威脅行為者」。
Google在發現漏洞後第一時間通知了相關軟體廠商,補丁在攻擊造成實際損害之前就已經打上。
程式碼裡的「AI指紋」:怎麼判斷是大模型寫的
一個自然的追問是,Google憑什麼判斷這段攻擊程式碼是AI寫的?
前NSA網路安全主管Rob Joyce說:
AI寫的程式碼不會自己宣佈自己是AI寫的。
這話沒錯,但Google的研究人員還是在這段Python指令碼裡找到了一系列異常特徵。
這些特徵包括,指令碼中包含大量教學性質的註釋文件(docstring),這種東西人類駭客寫攻擊工具時完全沒有理由加進去。
指令碼裡還出現了一個「幻覺CVSS評分」,就是AI自己編了一個漏洞嚴重性評分,現實中根本不存在這個分數。
整個程式碼的格式非常「教科書式」,用了標準的Python風格,包括詳細的幫助菜單和整潔的ANSI顏色類,這些都是大模型訓練資料中的典型特徵。
Rob Joyce在提前審閱了這份報告後評價說,這是「迄今為止最接近犯罪現場指紋的東西」。
Hultquist補充說,Google手裡還有其他能佐證「AI參與」結論的證據,但他拒絕透露具體細節。
Google也沒有說明駭客使用的是那個AI模型,只表示大機率不是自家的Gemini,也大機率不是Anthropic的Claude Mythos。
這個漏洞本身也很有意思。
報告描述這是一個「高層語義邏輯缺陷」,源於開發者在2FA系統中硬編碼了一個信任假設。
這種邏輯層面的bug,傳統的自動化掃描工具很難發現,但恰恰是大模型擅長捕捉的。
大模型在理解程式碼意圖和發現邏輯矛盾方面有天然優勢,這也是安全研究者最擔心的地方。
Mythos的陰影和正在加速的AI軍備競賽
Google的這份報告落地的時間點,非常微妙。
就在一個月前,Anthropic宣佈了旗下的Mythos模型,然後整個安全圈就炸了。
Anthropic自己說Mythos在「每一個主流作業系統和每一個主流瀏覽器」中都發現了零日漏洞,數量以千計,其中很多漏洞存在了幾十年。
這個能力太過恐怖,以至於Anthropic決定不公開發佈Mythos,只向美國和英國的少數受信任機構和公司提供存取權。
Anthropic還牽頭搞了一個叫「Project Glasswing」的計畫,把亞馬遜、蘋果、Google、微軟、摩根大通這些巨頭拉到一起,試圖在Mythos可能造成的衝擊到來之前,先把全球關鍵軟體的安全窟窿堵上。
OpenAI也沒閒著。
上周五,OpenAI宣佈推出了GPT-5.5-Cyber,一個專門面向網路安全的模型,但同樣只向「負責保護關鍵基礎設施的防禦者」開放。
坦率的講,Google這次捕獲的零日攻擊,給整個局面又加了一把火。
因為這證明了一件事,你不需要Mythos這種頂級模型,市面上已有的商業大模型就足以幫駭客發現和利用零日漏洞。
Mythos代表的是天花板,但地板已經夠高了。
Hultquist的判斷是:
有一種誤解認為AI漏洞競賽即將到來。
現實是,它已經開始了。
PromptSpy:當惡意軟體自己學會了思考
報告中還有一個細節值得單獨拎出來說,Google發現了一款叫PromptSpy的Android惡意軟體,它直接呼叫Gemini的API來分析使用者當前的手機螢幕,然後自主決定下一步該做什麼。
這玩意的能力清單讀起來讓人後背發涼。
它能自主導航Android介面,即時監控使用者行為,捕獲生物識別資料來重放解鎖手勢(比如PIN碼和滑動圖案),甚至能阻止使用者解除安裝它。
具體的做法是,PromptSpy會識別螢幕上「解除安裝」按鈕的坐標,然後在按鈕上方覆蓋一層透明遮罩來攔截觸摸事件,讓使用者以為按鈕壞了。
更關鍵的是,PromptSpy的命令控制基礎設施可以動態更新,Gemini API金鑰、VNC中繼伺服器這些都能在執行階段遠端切換。
開發者顯然預判了防禦方的應對手段,提前留好了退路。
Google已經關停了與PromptSpy相關的所有資產,Play Store上也沒有發現包含該惡意軟體的應用。
但PromptSpy代表的方向,讓AI惡意軟體擁有自主決策能力,這個趨勢才剛剛開始。
窗口期正在關閉
所有這些發現指向同一個結論,AI正在同時強化攻防兩端的能力,但目前攻擊方的加速度更快。
Anthropic網路政策負責人Rob Bair上周在華盛頓的AI+Expo上說,Mythos等模型的分階段發佈是為了創造「防禦者優勢窗口」,而這個窗口的長度「以月計,不是以年計」。
美國政府也在緊急行動。
美國政府上周宣佈與Google、微軟和xAI(是的,沒有最強的Anthropic和OpenAI這兩家)簽署了新協議,要求在公開發佈最強AI模型之前先接受政府評估。
這是在延續拜登時期與Anthropic和OpenAI簽署的類似協議。
但這個公告後來又從商務部網站上消失了。
混亂的訊號背後,是白宮內部對AI監管路徑的分歧。
曾任白宮科技政策顧問的Dean Ball說:
我不喜歡監管。我希望事情不被監管。
但在這個問題上,我認為我們需要監管。
長期來看,樂觀派認為AI最終會讓軟體變得更安全。
當最先進的模型可以寫出幾乎無缺陷的程式碼時,整個網際網路的安全基線會大幅提升。
Hultquist自己也承認這一點:
最前沿的模型將讓我們建構出有史以來最安全的程式碼。
這對網路安全來說是絕對的勝利。
但問題在於,現在已經運行著的、由人類之手寫出的、充滿漏洞的「數兆行程式碼」,不會一夜之間消失。
加固這些存量程式碼可能需要好幾年。
而在這個過渡期內,AI工具正在幫助駭客以前所未有的速度和規模挖掘這些遺留漏洞。
Ball把這個階段叫做「過渡期」,並預測在這段時間裡,「世界實際上可能會變得更危險」。
對於任何運行著Web管理工具、依賴2FA作為核心安全層的組織來說,這份報告傳遞的訊號很明確,AI駭客不再是明年的事,是今天的事。
漏洞補丁的響應速度,以及對AI輔助攻擊特徵的監測能力,可能很快就會成為安全團隊的核心KPI。 (新智元)