当前位置: 首页
科技数码
谷歌证实黑客利用AI发动真实网络攻击

谷歌证实黑客利用AI发动真实网络攻击

热心网友 时间:2026-05-13
转载

周一,谷歌发布了一份报告,首次证实了安全界担忧多年的场景已成现实:犯罪黑客利用AI大模型,独立发现了一个此前未知的零日漏洞,并编写了Python脚本,险些发动大规模攻击。

虽然谷歌成功拦截了这次攻击,但事件的重点早已不是“拦没拦住”。真正的焦点在于,那个关于“AI自动挖掘漏洞”的理论噩梦,如今有了第一个实锤案例。正如谷歌威胁情报组首席分析师John Hultquist所言,这恐怕只是“冰山一角”,问题的规模可能远超我们所见。


根据报告,被利用的漏洞存在于一个“广泛使用的开源Web系统管理工具”中,该漏洞可以绕过双因素认证。攻击者仍需获取有效的用户名和密码,但一旦两者兼备,便能直接进入目标的管理后台。谷歌出于安全考虑,未公开该工具及黑客团伙的具体名称,仅以“知名网络犯罪威胁行为者”代称。在发现漏洞后,谷歌已第一时间通知相关厂商,补丁在攻击造成实际损害前便已部署。

代码里的“AI指纹”:如何判定

一个自然的疑问是:谷歌如何断定攻击代码出自AI之手?前NSA网络安全主管Rob Joyce说得直白:“AI写的代码不会自己宣布自己是AI写的。”话虽如此,研究人员还是在这段Python脚本中发现了一系列异常特征,堪称“犯罪现场指纹”。


这些特征包括:脚本中含有大量教学性质的注释文档,这在人类黑客编写的攻击工具中极为罕见;代码中间出现了一个“幻觉CVSS评分”,即AI自行编造了一个现实中不存在的漏洞严重性分数;此外,整个代码格式呈现出标准的“教科书式”风格,包括详细的帮助菜单和整洁的ANSI颜色类,这些都是大模型训练数据的典型产物。


Hultquist补充道,谷歌还掌握了其他佐证“AI参与”的证据,但未透露细节。同时,谷歌也未指明黑客具体使用了哪个模型,仅表示大概率不是自家的Gemini,也非Anthropic的Claude Mythos。

这个漏洞本身也颇具意味。报告将其描述为一个“高层语义逻辑缺陷”,源于开发者在双因素认证系统中硬编码了一个信任假设。这类逻辑层面的漏洞,恰恰是传统自动化扫描工具难以捕捉,而大模型凭借其理解代码意图和发现逻辑矛盾的优势所擅长的领域。这正是安全研究者最深层的忧虑所在。

Mythos的阴影与加速的AI军备竞赛

谷歌报告的发布时机相当微妙。就在一个月前,Anthropic宣布了其Mythos模型,随即震撼了整个安全圈。Anthropic声称,Mythos在“每一个主流操作系统和每一个主流浏览器”中都发现了零日漏洞,数量高达数千个,其中许多漏洞已存在数十年。

其能力之强,迫使Anthropic决定不公开发布Mythos,仅向美英两国的少数受信任机构和公司提供访问权限。该公司还牵头启动了“Project Glasswing”计划,联合亚马逊、苹果、谷歌、微软、摩根大通等巨头,试图在Mythos可能引发的冲击波到来前,抢先修补全球关键软件的安全漏洞。


OpenAI同样没有缺席。就在上周五,OpenAI推出了专门面向网络安全的GPT-5.5-Cyber模型,但也仅对“负责保护关键基础设施的防御者”开放。


坦率地说,谷歌此次捕获的零日攻击事件,为已然紧张的局势又添了一把火。它证明了一个关键事实:你未必需要Mythos这样的顶级模型,市面上已有的商业大模型,就足以协助黑客发现并利用零日漏洞。Mythos代表的是能力天花板,但现实的门槛已经足够低了。正如Hultquist所判断的:“有一种误解认为AI漏洞竞赛即将到来。现实是,它已经开始了。”

PromptSpy:当恶意软件学会自主思考

报告中另一个值得单独关注的细节,是一款名为PromptSpy的Android恶意软件。这款软件能够直接调用Gemini的API来分析用户当前的手机屏幕,并自主决定下一步行动。

它的能力清单读来令人不寒而栗:可以自主导航Android界面,实时监控用户行为,捕获生物识别数据以重放解锁手势,甚至能阻止用户卸载。其手段是识别屏幕上“卸载”按钮的坐标,并在上方覆盖透明遮罩来拦截触摸事件,让用户误以为按钮失灵。

更关键的是,PromptSpy的命令控制基础设施支持动态更新,其Gemini API密钥、VNC中继服务器等均可在运行时远程切换,这显示出开发者对防御方应对手段的预判和规避。


尽管谷歌已关停与PromptSpy相关的所有资产,并在Play Store中未发现包含该恶意软件的应用,但PromptSpy所代表的趋势——即AI恶意软件获得自主决策能力——才刚刚拉开序幕。

正在关闭的“防御窗口期”

所有这些发现都指向同一个结论:AI正在同时增强攻防双方的能力,但目前攻击方似乎获得了更快的加速度。

Anthropic的网络政策负责人Rob Bair上周在华盛顿的AI+Expo上表示,像Mythos这样的模型采取分阶段发布策略,旨在为防御方创造一个“优势窗口期”,而这个窗口期的长度“是以月计,而非以年计”。

美国政府也在紧急行动。上周,美国政府宣布与谷歌、微软和xAI签署了新协议,要求这些公司在公开发布最强大的AI模型前,需先接受政府评估。此举延续了此前拜登政府与Anthropic和OpenAI达成的类似协议精神。不过,相关公告随后又从商务部网站上消失,这背后反映出白宫内部在AI监管路径上可能存在的分歧。


曾担任白宫科技政策顾问的Dean Ball对此评论道:“我不喜欢监管。我希望事情不被监管。但在这个问题上,我认为我们需要监管。”

从长远来看,乐观派认为AI最终将使软件变得更安全。当最先进的模型能够编写出近乎无缺陷的代码时,整个互联网的安全基线将大幅提升。Hultquist本人也承认这一点:“最前沿的模型将让我们构建出有史以来最安全的代码。这对网络安全来说是绝对的胜利。”

然而,问题在于,当前已在运行的、由人类编写的、充满漏洞的“数万亿行代码”不会一夜之间消失。加固这些存量代码可能需要数年时间。而在这个过渡期内,AI工具正在以前所未有的速度和规模,帮助黑客挖掘这些遗留漏洞。Ball将这一阶段称为“过渡期”,并预测在此期间,“世界实际上可能会变得更危险”。

对于任何运行着Web管理工具、依赖双因素认证作为核心安全层的组织而言,这份报告传递的信号再明确不过:AI辅助的黑客攻击已不再是未来的威胁,而是当下必须面对的挑战。漏洞补丁的响应速度,以及对AI辅助攻击特征的监测能力,很可能在不久的将来,成为每一个安全团队的核心考核指标。

来源:https://www.163.com/dy/article/KSPUVGB50511ABV6.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
谷歌升级Google Cloud机密计算产品

谷歌升级Google Cloud机密计算产品

IT之家 7 月 6 日消息,谷歌宣布对旗下 Google Cloud 机密计算(Confidential Computing)产品进行升级,新增基于英伟达 Blackwell GPU 的机密虚拟机、开源 AI 提示词加密工具 Prompt Encryption SDK,同步升级 Confident

时间:2026-07-07 14:57
谷歌要放大招? Gemini 3.5 Pro传7月17日发布,前端碾压Fable 5

谷歌要放大招? Gemini 3.5 Pro传7月17日发布,前端碾压Fable 5

谷歌在大模型竞赛中憋出一张重磅底牌。据泄露信息,Gemini 3 5 Pro将于7月17日正式发布,其前端与视觉代码生成能力据称出现跨越式跃升,在多项测试中压制Anthropic的Fable 5,但在硬核推理与复杂工程任务上仍落后于对手。这款姗姗来迟的旗舰模型背后,是一次更为彻底的技术重构。据科技媒

时间:2026-07-07 14:45
年电池续航最长的荣耀手机别错过

年电池续航最长的荣耀手机别错过

在挑选2026年电池续航最长的手机时,许多人关注的不仅仅是实验室测试中的几分钟优势,更看重一天高强度使用后还能剩下多少电量。按照这个标准来看,荣耀X80 Pro Max确实很有代表性,它将大容量电池与真实日常场景紧密结合,是该需求下非常值得优先考虑的一款机型。荣耀X80 Pro Max直接搭载了一块

时间:2026-07-07 12:52
年高性价比手机推荐 同预算选机更看重长期体验

年高性价比手机推荐 同预算选机更看重长期体验

在2026年性价比高的手机推荐榜单中,同价位机型往往更看重长期使用的综合体验。如果仅仅追求低价,很容易忽视续航、耐用性、屏幕素质与通信质量这些日常高频使用的核心维度。荣耀X80 Pro Max的主要竞争力,在于将11000mAh超大电池、军工级防护、万级亮度屏幕以及AI智能体验,全部集成到2000元

时间:2026-07-07 12:52
小米17系列销量超550万台 Ultra版约23.07万部

小米17系列销量超550万台 Ultra版约23.07万部

探讨小米17系列最新销量表现。据数码博主曝光的行业追踪数据,截至2026年第26周(即6月22日至6月28日),小米17系列全系累计销量已成功突破550万台大关。 具体数据方面,系列总销量约为554 01万台。其中,定位顶配的小米17 Ultra贡献了约23 07万部。值得关注的是,面向中端市场的1

时间:2026-07-07 12:52
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜