近日,谷歌威胁情报组(GTIG)发布了一份重磅报告,首次以确凿证据证实:网络犯罪团伙已成功利用AI大语言模型,独立发现了一个此前未知的零日漏洞,并编写了可用于大规模攻击的Python脚本。尽管攻击被成功拦截,但事件的核心意义远超于此。它标志着“AI自动化漏洞挖掘与武器化”这一长期被安全界担忧的理论风险,已正式成为现实威胁。考虑到Anthropic的Mythos模型已发现数以千计的零日漏洞,此次事件很可能只是冰山一角。
2025年5月12日,谷歌威胁情报组发布的这份报告揭示了一个关键事实:网络犯罪者利用AI模型独立完成了一个零日漏洞的发现、理解与攻击脚本编写全过程。
虽然谷歌的安全系统成功阻止了此次攻击,但真正的警示在于:预言多年的“AI辅助网络攻击”已从概念走向实战,并留下了清晰的证据链。这彻底改变了网络攻防的格局。
GTIG首席分析师John Hultquist在接受采访时强调,这仅仅是第一个被公开披露的实质性案例,实际的情况可能远比我们目前看到的更为广泛和严峻。

报告指出,该漏洞存在于一个“被广泛使用的开源Web系统管理工具”中,其本质是一个逻辑缺陷,可导致双因素认证(2FA)机制被绕过。攻击者仍需获取有效的用户名和密码凭证,但一旦得手,即可直接进入目标系统管理后台,危害极大。谷歌已通知相关厂商并协助其发布了补丁,避免了实际损失。
代码中的“AI指纹”:如何识别大模型生成的攻击脚本
一个关键问题是:研究人员如何断定这段攻击代码出自AI之手?正如前NSA网络安全主管Rob Joyce所言,AI生成的代码不会主动标明来源。

然而,谷歌的研究人员在这段Python脚本中发现了多个典型的AI生成特征。这些特征包括大量冗余的、教学性质的代码注释——这在人类黑客的高效攻击工具中极为罕见。脚本中还包含了一个“幻觉”的CVSS漏洞评分,即AI自行虚构了一个不存在的严重性分数。
此外,整体代码格式呈现出高度“教科书化”的风格,遵循标准的Python编码规范,包含了详细的帮助菜单和整齐的ANSI颜色控制类,这些模式与大模型训练数据中的常见范例高度吻合。

Rob Joyce在审阅报告后评价,这是“迄今为止最接近犯罪现场指纹的发现”。Hultquist补充说,谷歌还掌握了其他能佐证AI参与的内部证据。报告未指明具体使用的AI模型,但表示大概率并非谷歌自家的Gemini或Anthropic的Claude Mythos。
该漏洞本身也极具代表性。它被描述为一个“高层语义逻辑缺陷”,源于开发者在2FA系统中硬编码了一个错误的信任假设。这类需要理解代码意图和上下文逻辑的漏洞,正是传统自动化扫描工具难以发现,而大语言模型凭借其强大的语义理解能力所擅长的领域。这也正是安全专家最为担忧的AI应用场景之一。
Mythos的警示与加速的AI安全军备竞赛
谷歌报告的发布时机十分微妙。就在一个月前,Anthropic发布的Mythos模型震动了安全界。该公司宣称,Mythos在每一个主流操作系统和浏览器中都发现了大量零日漏洞,总数以千计,其中许多已潜伏数十年。
鉴于其能力的颠覆性,Anthropic决定不公开发布Mythos,仅限美国、英国的部分受信机构和公司访问。同时,该公司牵头启动了“Project Glasswing”计划,联合亚马逊、苹果、谷歌、微软、摩根大通等科技与金融巨头,旨在利用Mythos的能力,在全球关键软件遭受冲击之前,抢先修复其安全漏洞。

OpenAI也迅速跟进,于上周五宣布推出专为网络安全领域优化的GPT-5.5-Cyber模型,但明确表示仅向“负责保护关键基础设施的防御者”开放。

谷歌此次披露的案例,无疑给本已紧张的局势火上浇油。它证明了一个关键事实:攻击者未必需要Mythos这样的顶级专用模型;当前市面上可获取的通用商业大模型,其能力“地板”已经足够帮助黑客发现并利用零日漏洞。Mythos代表了能力的上限,但攻击的门槛正在急剧降低。
Hultquist的判断一针见血:许多人以为AI驱动的漏洞攻防竞赛即将到来,但现实是,这场竞赛早已开始,并且正在加速。
PromptSpy:具备自主决策能力的AI恶意软件
报告中另一个值得高度关注的细节是名为PromptSpy的Android恶意软件。这款软件能够直接调用Gemini的API来实时分析用户手机屏幕内容,并自主决定下一步攻击行动。
其能力清单令人不寒而栗:可自主导航Android系统界面、实时监控用户操作、捕获生物识别数据以重放解锁手势(如PIN码和图案),甚至能阻止用户卸载。其手法是识别屏幕上“卸载”按钮的坐标,然后在其上方覆盖透明图层拦截点击事件,造成按钮失灵的假象。
更危险的是,PromptSpy的命令与控制(C2)基础设施支持动态更新,其Gemini API密钥、VNC中继服务器等关键配置均可远程实时切换。这表明开发者具备高度的反侦查意识,预先为对抗封杀留好了后路。

目前,谷歌已关停与PromptSpy相关的所有基础设施,并在Google Play商店中进行了排查。然而,PromptSpy所代表的趋势——即赋予恶意软件基于环境感知的自主决策能力——才刚刚开始显现,这预示着未来移动安全将面临更复杂的挑战。
正在缩小的“防御窗口期”
综合来看,所有发现都指向同一个结论:AI正在同时赋能攻击和防御双方,但现阶段,攻击方似乎获得了更快的加速度和更低的门槛。
Anthropic的网络政策负责人Rob Bair近期在华盛顿的AI+Expo上表示,像Mythos这类模型的分阶段、受限发布,是为了创造一个短暂的“防御者优势窗口期”,而这个窗口期“可能只有数月,而非数年”。
美国政府也在紧急行动。上周,美国政府宣布与谷歌、微软和xAI(值得注意的是,名单中未包含Anthropic和OpenAI)签署新协议,要求最强的AI模型在公开发布前需接受政府安全评估。此举延续了此前与部分AI公司的协议精神,但相关公告随后又被撤回,这反映出白宫在AI监管路径上仍存在分歧与不确定性。

曾任白宫科技政策顾问的Dean Ball坦言:“我通常不赞成监管,但在这个问题上,我认为监管是必要的。”
从长远视角看,乐观派认为AI最终将促使软件变得更安全。当最先进的模型能够编写出近乎无缺陷的代码时,整个互联网的安全基线将被大幅抬高。Hultquist也承认这一点:最前沿的模型将帮助我们构建出有史以来最安全的代码,这无疑是网络安全的终极胜利。
但关键在于,当前全球正在运行的、由人类编写的、充满漏洞的“数万亿行遗留代码”不会一夜之间消失。加固这些存量系统可能需要数年甚至更长时间。而在这个漫长的“过渡期”内,AI工具正以前所未有的效率和规模,帮助攻击者挖掘和利用这些历史漏洞。Ball将这个阶段称为“危险过渡期”,并预测在此期间,“世界实际上可能会变得更加危险”。
对于所有依赖Web管理工具、并将双因素认证(2FA)作为核心安全屏障的组织而言,这份报告传递的信号再清晰不过:AI驱动的自动化黑客攻击已不再是未来的威胁,而是当下必须面对的严峻现实。快速响应漏洞补丁的能力,以及对AI辅助攻击特征的监测与防御技术,即将成为企业安全团队的核心竞争力与考核指标。
