来源:The Verge / Google Threat Intelligence Group 编译:予声希
5 月 12 日,谷歌威胁情报团队(GTIG)发布了一份引人注目的报告:人类历史上第一次,有证据表明黑客使用 AI 生成了零日漏洞利用代码。
这不仅仅是一个"AI 辅助编程"的故事,而是一个危险的信号——网络犯罪组织已经开始把大语言模型当成他们的"武器研发平台"。
发生了什么
据 GTIG 报告,一家"知名的网络犯罪威胁组织"计划对一个"开源的 Web 管理系统工具"发动大规模利用攻击。如果成功,攻击者将能绕过该系统的两步验证(2FA),直接控制受害者账号。
谷歌成功在攻击发生前拦截了这个 exploit。但真正令人担忧的是 exploit 代码里留下的 AI 痕迹。
代码中的 AI "指纹"
谷歌研究人员在分析这个 Python exploit 脚本时,发现了几个明显的 AI 生成特征:
1. 幻觉的 CVSS 评分
代码中引用了一个 CVSS(通用漏洞评分系统)分数,但这个分数是不存在的。研究人员认为,这是大模型在"幻觉"——它编造了一个看起来专业但实际上无效的安全评分。
这就像是一个 AI 写手为了显得专业,硬塞了一个听起来很厉害的术语,但经不起查证。
2. "教科书式"的代码结构
代码的结构呈现出一种高度结构化、教科书般的格式,这与大模型训练数据中的典型安全教程高度一致。
简单说,这个 exploit 写得"太标准了",标准到不像一个真正的黑客手写的代码。
3. 语义逻辑漏洞
这个 exploit 利用的是一个"高级语义逻辑缺陷"——开发者在 2FA 系统中硬编码了一个信任假设。这种漏洞通常需要深入的代码理解才能发现,而 AI 恰好擅长这种模式匹配式的分析。
为什么这件事很重要
这是第一次有实证的 AI 生成攻击
虽然此前业界一直在讨论"AI 会让黑客变得更强",但这是第一次有安全厂商拿出证据,证明某个具体的攻击确实使用了 AI 生成技术。
值得注意的是,谷歌研究人员明确表示,他们不认为这次攻击使用了 Gemini。也就是说,黑客用的是其他 AI 模型——可能是开源的,也可能是其他商业模型。
黑客正在"角色驱动越狱"
报告中还提到了一个令人不安的趋势:黑客正在使用**"角色驱动的越狱攻击"(persona-driven jailbreaking)**来获取 AI 的帮助。
具体做法是,给 AI 设定一个"安全专家"的角色身份,然后让它帮忙寻找安全漏洞。这就像给 AI 穿上一件"白帽子"的外衣,让它在不触发安全过滤的情况下输出敏感信息。
AI 本身也成了攻击目标
报告还指出,攻击者越来越多地将 AI 系统的集成组件作为攻击目标,比如:
- 自主技能模块(autonomous skills)
- 第三方数据连接器
换句话说,黑客不仅用 AI 来攻击别人,也在想办法直接攻击 AI 系统本身。
对国内的意义
中国的安全行业近年来快速发展,AI 安全也是一个热门方向。这次事件给国内带来了几个警示:
对安全厂商:
- AI 辅助的漏洞挖掘已经从理论走向实践,防御体系需要升级
- 传统的漏洞特征库可能不足以应对 AI 生成的"定制化" exploit
- 需要关注"角色越狱"这类新型攻击向量
对企业安全团队:
- 两步验证不是万能药,逻辑层面的 2FA 实现需要更严格的审计
- 开源系统管理工具的使用需要额外的安全评估
- 定期进行代码安全审查,特别是涉及认证和授权的模块
对 AI 开发者:
- 需要在模型层面加强安全过滤,防止被"角色越狱"绕过
- 关注 AI 输出中可能包含的敏感安全信息
- 考虑对安全相关查询增加额外的验证层
我的看法
这件事的标志性意义在于,它正式开启了 AI 安全对抗的新纪元。
过去我们说"AI 会让安全行业变革",更多是一种预测。现在这个预测正在变成现实。黑客不需要再是编程高手,只需要学会如何向 AI 提问,就能生成可用的 exploit。
但这并不意味着我们可以悲观。谷歌这次成功拦截,本身就说明防御方也在利用 AI 来对抗 AI。未来的安全攻防,将越来越像一场"AI 对 AI"的军备竞赛。
对于普通用户来说,最重要的启示是:不要认为两步验证就万无一失。安全是一个系统工程,每一层都可能成为突破口。
而对于安全行业来说,这场比赛才刚刚开始。
