谷歌证实黑客利用AI发动真实网络攻击

周一，谷歌发布了一份报告，首次证实了安全界担忧多年的场景已成现实：犯罪黑客利用AI大模型，独立发现了一个此前未知的零日漏洞，并编写了Python脚本，险些发动大规模攻击。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

虽然谷歌成功拦截了这次攻击，但事件的重点早已不是“拦没拦住”。真正的焦点在于，那个关于“AI自动挖掘漏洞”的理论噩梦，如今有了第一个实锤案例。正如谷歌威胁情报组首席分析师John Hultquist所言，这恐怕只是“冰山一角”，问题的规模可能远超我们所见。

根据报告，被利用的漏洞存在于一个“广泛使用的开源Web系统管理工具”中，该漏洞可以绕过双因素认证。攻击者仍需获取有效的用户名和密码，但一旦两者兼备，便能直接进入目标的管理后台。谷歌出于安全考虑，未公开该工具及黑客团伙的具体名称，仅以“知名网络犯罪威胁行为者”代称。在发现漏洞后，谷歌已第一时间通知相关厂商，补丁在攻击造成实际损害前便已部署。

代码里的“AI指纹”：如何判定

一个自然的疑问是：谷歌如何断定攻击代码出自AI之手？前NSA网络安全主管Rob Joyce说得直白：“AI写的代码不会自己宣布自己是AI写的。”话虽如此，研究人员还是在这段Python脚本中发现了一系列异常特征，堪称“犯罪现场指纹”。

这些特征包括：脚本中含有大量教学性质的注释文档，这在人类黑客编写的攻击工具中极为罕见；代码中间出现了一个“幻觉CVSS评分”，即AI自行编造了一个现实中不存在的漏洞严重性分数；此外，整个代码格式呈现出标准的“教科书式”风格，包括详细的帮助菜单和整洁的ANSI颜色类，这些都是大模型训练数据的典型产物。

Hultquist补充道，谷歌还掌握了其他佐证“AI参与”的证据，但未透露细节。同时，谷歌也未指明黑客具体使用了哪个模型，仅表示大概率不是自家的Gemini，也非Anthropic的Claude Mythos。

这个漏洞本身也颇具意味。报告将其描述为一个“高层语义逻辑缺陷”，源于开发者在双因素认证系统中硬编码了一个信任假设。这类逻辑层面的漏洞，恰恰是传统自动化扫描工具难以捕捉，而大模型凭借其理解代码意图和发现逻辑矛盾的优势所擅长的领域。这正是安全研究者最深层的忧虑所在。

Mythos的阴影与加速的AI军备竞赛

谷歌报告的发布时机相当微妙。就在一个月前，Anthropic宣布了其Mythos模型，随即震撼了整个安全圈。Anthropic声称，Mythos在“每一个主流操作系统和每一个主流浏览器”中都发现了零日漏洞，数量高达数千个，其中许多漏洞已存在数十年。

其能力之强，迫使Anthropic决定不公开发布Mythos，仅向美英两国的少数受信任机构和公司提供访问权限。该公司还牵头启动了“Project Glasswing”计划，联合亚马逊、苹果、谷歌、微软、摩根大通等巨头，试图在Mythos可能引发的冲击波到来前，抢先修补全球关键软件的安全漏洞。

OpenAI同样没有缺席。就在上周五，OpenAI推出了专门面向网络安全的GPT-5.5-Cyber模型，但也仅对“负责保护关键基础设施的防御者”开放。

坦率地说，谷歌此次捕获的零日攻击事件，为已然紧张的局势又添了一把火。它证明了一个关键事实：你未必需要Mythos这样的顶级模型，市面上已有的商业大模型，就足以协助黑客发现并利用零日漏洞。Mythos代表的是能力天花板，但现实的门槛已经足够低了。正如Hultquist所判断的：“有一种误解认为AI漏洞竞赛即将到来。现实是，它已经开始了。”

PromptSpy：当恶意软件学会自主思考

报告中另一个值得单独关注的细节，是一款名为PromptSpy的Android恶意软件。这款软件能够直接调用Gemini的API来分析用户当前的手机屏幕，并自主决定下一步行动。

它的能力清单读来令人不寒而栗：可以自主导航Android界面，实时监控用户行为，捕获生物识别数据以重放解锁手势，甚至能阻止用户卸载。其手段是识别屏幕上“卸载”按钮的坐标，并在上方覆盖透明遮罩来拦截触摸事件，让用户误以为按钮失灵。

更关键的是，PromptSpy的命令控制基础设施支持动态更新，其Gemini API密钥、VNC中继服务器等均可在运行时远程切换，这显示出开发者对防御方应对手段的预判和规避。

尽管谷歌已关停与PromptSpy相关的所有资产，并在Play Store中未发现包含该恶意软件的应用，但PromptSpy所代表的趋势——即AI恶意软件获得自主决策能力——才刚刚拉开序幕。

正在关闭的“防御窗口期”

所有这些发现都指向同一个结论：AI正在同时增强攻防双方的能力，但目前攻击方似乎获得了更快的加速度。

Anthropic的网络政策负责人Rob Bair上周在华盛顿的AI+Expo上表示，像Mythos这样的模型采取分阶段发布策略，旨在为防御方创造一个“优势窗口期”，而这个窗口期的长度“是以月计，而非以年计”。

美国政府也在紧急行动。上周，美国政府宣布与谷歌、微软和xAI签署了新协议，要求这些公司在公开发布最强大的AI模型前，需先接受政府评估。此举延续了此前拜登政府与Anthropic和OpenAI达成的类似协议精神。不过，相关公告随后又从商务部网站上消失，这背后反映出白宫内部在AI监管路径上可能存在的分歧。

曾担任白宫科技政策顾问的Dean Ball对此评论道：“我不喜欢监管。我希望事情不被监管。但在这个问题上，我认为我们需要监管。”

从长远来看，乐观派认为AI最终将使软件变得更安全。当最先进的模型能够编写出近乎无缺陷的代码时，整个互联网的安全基线将大幅提升。Hultquist本人也承认这一点：“最前沿的模型将让我们构建出有史以来最安全的代码。这对网络安全来说是绝对的胜利。”

然而，问题在于，当前已在运行的、由人类编写的、充满漏洞的“数万亿行代码”不会一夜之间消失。加固这些存量代码可能需要数年时间。而在这个过渡期内，AI工具正在以前所未有的速度和规模，帮助黑客挖掘这些遗留漏洞。Ball将这一阶段称为“过渡期”，并预测在此期间，“世界实际上可能会变得更危险”。

对于任何运行着Web管理工具、依赖双因素认证作为核心安全层的组织而言，这份报告传递的信号再明确不过：AI辅助的黑客攻击已不再是未来的威胁，而是当下必须面对的挑战。漏洞补丁的响应速度，以及对AI辅助攻击特征的监测能力，很可能在不久的将来，成为每一个安全团队的核心考核指标。