周一,谷歌发布了一份报告,首次证实了安全界担忧多年的场景已成现实:犯罪黑客利用AI大模型,独立发现了一个此前未知的零日漏洞,并编写了Python脚本,险些发动大规模攻击。
虽然谷歌成功拦截了这次攻击,但事件的重点早已不是“拦没拦住”。真正的焦点在于,那个关于“AI自动挖掘漏洞”的理论噩梦,如今有了第一个实锤案例。正如谷歌威胁情报组首席分析师John Hultquist所言,这恐怕只是“冰山一角”,问题的规模可能远超我们所见。
根据报告,被利用的漏洞存在于一个“广泛使用的开源Web系统管理工具”中,该漏洞可以绕过双因素认证。攻击者仍需获取有效的用户名和密码,但一旦两者兼备,便能直接进入目标的管理后台。谷歌出于安全考虑,未公开该工具及黑客团伙的具体名称,仅以“知名网络犯罪威胁行为者”代称。在发现漏洞后,谷歌已第一时间通知相关厂商,补丁在攻击造成实际损害前便已部署。
代码里的“AI指纹”:如何判定
一个自然的疑问是:谷歌如何断定攻击代码出自AI之手?前NSA网络安全主管Rob Joyce说得直白:“AI写的代码不会自己宣布自己是AI写的。”话虽如此,研究人员还是在这段Python脚本中发现了一系列异常特征,堪称“犯罪现场指纹”。
这些特征包括:脚本中含有大量教学性质的注释文档,这在人类黑客编写的攻击工具中极为罕见;代码中间出现了一个“幻觉CVSS评分”,即AI自行编造了一个现实中不存在的漏洞严重性分数;此外,整个代码格式呈现出标准的“教科书式”风格,包括详细的帮助菜单和整洁的ANSI颜色类,这些都是大模型训练数据的典型产物。
Hultquist补充道,谷歌还掌握了其他佐证“AI参与”的证据,但未透露细节。同时,谷歌也未指明黑客具体使用了哪个模型,仅表示大概率不是自家的Gemini,也非Anthropic的Claude Mythos。
这个漏洞本身也颇具意味。报告将其描述为一个“高层语义逻辑缺陷”,源于开发者在双因素认证系统中硬编码了一个信任假设。这类逻辑层面的漏洞,恰恰是传统自动化扫描工具难以捕捉,而大模型凭借其理解代码意图和发现逻辑矛盾的优势所擅长的领域。这正是安全研究者最深层的忧虑所在。
Mythos的阴影与加速的AI军备竞赛
谷歌报告的发布时机相当微妙。就在一个月前,Anthropic宣布了其Mythos模型,随即震撼了整个安全圈。Anthropic声称,Mythos在“每一个主流操作系统和每一个主流浏览器”中都发现了零日漏洞,数量高达数千个,其中许多漏洞已存在数十年。
其能力之强,迫使Anthropic决定不公开发布Mythos,仅向美英两国的少数受信任机构和公司提供访问权限。该公司还牵头启动了“Project Glasswing”计划,联合亚马逊、苹果、谷歌、微软、摩根大通等巨头,试图在Mythos可能引发的冲击波到来前,抢先修补全球关键软件的安全漏洞。
OpenAI同样没有缺席。就在上周五,OpenAI推出了专门面向网络安全的GPT-5.5-Cyber模型,但也仅对“负责保护关键基础设施的防御者”开放。
坦率地说,谷歌此次捕获的零日攻击事件,为已然紧张的局势又添了一把火。它证明了一个关键事实:你未必需要Mythos这样的顶级模型,市面上已有的商业大模型,就足以协助黑客发现并利用零日漏洞。Mythos代表的是能力天花板,但现实的门槛已经足够低了。正如Hultquist所判断的:“有一种误解认为AI漏洞竞赛即将到来。现实是,它已经开始了。”
PromptSpy:当恶意软件学会自主思考
报告中另一个值得单独关注的细节,是一款名为PromptSpy的Android恶意软件。这款软件能够直接调用Gemini的API来分析用户当前的手机屏幕,并自主决定下一步行动。
它的能力清单读来令人不寒而栗:可以自主导航Android界面,实时监控用户行为,捕获生物识别数据以重放解锁手势,甚至能阻止用户卸载。其手段是识别屏幕上“卸载”按钮的坐标,并在上方覆盖透明遮罩来拦截触摸事件,让用户误以为按钮失灵。
更关键的是,PromptSpy的命令控制基础设施支持动态更新,其Gemini API密钥、VNC中继服务器等均可在运行时远程切换,这显示出开发者对防御方应对手段的预判和规避。
尽管谷歌已关停与PromptSpy相关的所有资产,并在Play Store中未发现包含该恶意软件的应用,但PromptSpy所代表的趋势——即AI恶意软件获得自主决策能力——才刚刚拉开序幕。
正在关闭的“防御窗口期”
所有这些发现都指向同一个结论:AI正在同时增强攻防双方的能力,但目前攻击方似乎获得了更快的加速度。
Anthropic的网络政策负责人Rob Bair上周在华盛顿的AI+Expo上表示,像Mythos这样的模型采取分阶段发布策略,旨在为防御方创造一个“优势窗口期”,而这个窗口期的长度“是以月计,而非以年计”。
美国政府也在紧急行动。上周,美国政府宣布与谷歌、微软和xAI签署了新协议,要求这些公司在公开发布最强大的AI模型前,需先接受政府评估。此举延续了此前拜登政府与Anthropic和OpenAI达成的类似协议精神。不过,相关公告随后又从商务部网站上消失,这背后反映出白宫内部在AI监管路径上可能存在的分歧。
曾担任白宫科技政策顾问的Dean Ball对此评论道:“我不喜欢监管。我希望事情不被监管。但在这个问题上,我认为我们需要监管。”
从长远来看,乐观派认为AI最终将使软件变得更安全。当最先进的模型能够编写出近乎无缺陷的代码时,整个互联网的安全基线将大幅提升。Hultquist本人也承认这一点:“最前沿的模型将让我们构建出有史以来最安全的代码。这对网络安全来说是绝对的胜利。”
然而,问题在于,当前已在运行的、由人类编写的、充满漏洞的“数万亿行代码”不会一夜之间消失。加固这些存量代码可能需要数年时间。而在这个过渡期内,AI工具正在以前所未有的速度和规模,帮助黑客挖掘这些遗留漏洞。Ball将这一阶段称为“过渡期”,并预测在此期间,“世界实际上可能会变得更危险”。
对于任何运行着Web管理工具、依赖双因素认证作为核心安全层的组织而言,这份报告传递的信号再明确不过:AI辅助的黑客攻击已不再是未来的威胁,而是当下必须面对的挑战。漏洞补丁的响应速度,以及对AI辅助攻击特征的监测能力,很可能在不久的将来,成为每一个安全团队的核心考核指标。
