[智能应用]谷歌首度证实：黑客已开始用AI发动真实网络攻击 [复制链接]

【新智元导读】谷歌周一发布报告，首次确认犯罪黑客使用AI大模型发现了一个此前未知的零日漏洞，并差点发动大规模攻击。这件事之所以炸裂，是因为安全界担心了好几年的「AI自动挖洞」，终于从理论变成了现实。而在Anthropic的Mythos模型已经找到数千个零日漏洞的背景下，这可能只是冰山一角。
2025年5月12日，谷歌威胁情报组（GTIG）发了一份报告，内容只有一句话能概括，犯罪黑客用AI大模型，独立发现了一个零日漏洞，然后写了一个Python脚本准备搞大规模攻击。
谷歌拦住了。
但这件事的重点根本不在于「拦没拦住」。
重点在于，网络安全圈喊了好几年的那个噩梦场景，AI帮黑客自动挖漏洞，现在有了第一个实锤案例。
GTIG首席分析师John Hultquist在接受采访时称：
这是冰山一角。这个问题可能比我们看到的大得多，这只是我们能看到的第一个实质性证据。
这个漏洞存在于一个「广泛使用的开源Web系统管理工具」里，可以绕过双因素认证（2FA）。
攻击者同时还需要拿到有效的用户名和密码，但一旦两个条件凑齐，就能直接进入目标的管理后台。
谷歌没有透露这个工具的名字，也没有透露黑客团伙的身份，只说是「知名网络犯罪威胁行为者」。
谷歌在发现漏洞后第一时间通知了相关软件厂商，补丁在攻击造成实际损害之前就已经打上。
代码里的「AI指纹」：
怎么判断是大模型写的
一个自然的追问是，谷歌凭什么判断这段攻击代码是AI写的？
前NSA网络安全主管Rob Joyce说：
AI写的代码不会自己宣布自己是AI写的。
这话没错，但谷歌的研究人员还是在这段Python脚本里找到了一系列异常特征。
这些特征包括，脚本中包含大量教学性质的注释文档（docstring），这种东西人类黑客写攻击工具时完全没有理由加进去。
脚本里还出现了一个「幻觉CVSS评分」，就是AI自己编了一个漏洞严重性评分，现实中根本不存在这个分数。
整个代码的格式非常「教科书式」，用了标准的Python风格，包括详细的帮助菜单和整洁的ANSI颜色类，这些都是大模型训练数据中的典型特征。
Rob Joyce在提前审阅了这份报告后评价说，这是「迄今为止最接近犯罪现场指纹的东西」。
Hultquist补充说，谷歌手里还有其他能佐证「AI参与」结论的证据，但他拒绝透露具体细节。
谷歌也没有说明黑客使用的是哪个AI模型，只表示大概率不是自家的Gemini，也大概率不是Anthropic的Claude Mythos。
这个漏洞本身也很有意思。
报告描述这是一个「高层语义逻辑缺陷」，源于开发者在2FA系统中硬编码了一个信任假设。
这种逻辑层面的bug，传统的自动化扫描工具很难发现，但恰恰是大模型擅长捕捉的。
大模型在理解代码意图和发现逻辑矛盾方面有天然优势，这也是安全研究者最担心的地方。
Mythos的阴影
和正在加速的AI军备竞赛
谷歌的这份报告落地的时间点，非常微妙。
就在一个月前，Anthropic宣布了旗下的Mythos模型，然后整个安全圈就炸了。
Anthropic自己说Mythos在「每一个主流操作系统和每一个主流浏览器」中都发现了零日漏洞，数量以千计，其中很多漏洞存在了几十年。
这个能力太过恐怖，以至于Anthropic决定不公开发布Mythos，只向美国和英国的少数受信任机构和公司提供访问权限。
Anthropic还牵头搞了一个叫「Project Glasswing」的计划，把亚马逊、苹果、谷歌、微软、摩根大通这些巨头拉到一起，试图在Mythos可能造成的冲击到来之前，先把全球关键软件的安全窟窿堵上。
https://www.anthropic.com/glasswing
OpenAI也没闲着。
上周五，OpenAI宣布推出了GPT-5.5-Cyber，一个专门面向网络安全的模型，但同样只向「负责保护关键基础设施的防御者」开放。
https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber/
坦率的讲，谷歌这次捕获的零日攻击，给整个局面又加了一把火。
因为这证明了一件事，你不需要Mythos这种顶级模型，市面上已有的商业大模型就足以帮黑客发现和利用零日漏洞。
Mythos代表的是天花板，但地板已经够高了。
Hultquist的判断是：
有一种误解认为AI漏洞竞赛即将到来。
现实是，它已经开始了。
PromptSpy：
当恶意软件自己学会了思考
报告中还有一个细节值得单独拎出来说，谷歌发现了一款叫PromptSpy的Android恶意软件，它直接调用Gemini的API来分析用户当前的手机屏幕，然后自主决定下一步该做什么。
这玩意的能力清单读起来让人后背发凉。
它能自主导航Android界面，实时监控用户行为，捕获生物识别数据来重放解锁手势（比如PIN码和滑动图案），甚至能阻止用户卸载它。
具体的做法是，PromptSpy会识别屏幕上「卸载」按钮的坐标，然后在按钮上方覆盖一层透明遮罩来拦截触摸事件，让用户以为按钮坏了。
更关键的是，PromptSpy的命令控制基础设施可以动态更新，Gemini API密钥、VNC中继服务器这些都能在运行时远程切换。
开发者显然预判了防御方的应对手段，提前留好了退路。
谷歌已经关停了与PromptSpy相关的所有资产，Play Store上也没有发现包含该恶意软件的应用。
但PromptSpy代表的方向，让AI恶意软件拥有自主决策能力，这个趋势才刚刚开始。
窗口期正在关闭
所有这些发现指向同一个结论，AI正在同时强化攻防两端的能力，但目前攻击方的加速度更快。
Anthropic网络政策负责人Rob Bair上周在华盛顿的AI+Expo上说，Mythos等模型的分阶段发布是为了创造「防御者优势窗口」，而这个窗口的长度「以月计，不是以年计」。
美国政府也在紧急行动。
美国政府上周宣布与谷歌、微软和xAI（是的，没有最强的Anthropic和OpenAI这两家）签署了新协议，要求在公开发布最强AI模型之前先接受政府评估。
https://www.nytimes.com/2026/05/04/technology/trump-ai-models.html
这是在延续拜登时期与Anthropic和OpenAI签署的类似协议。
但这个公告后来又从商务部网站上消失了。
混乱的信号背后，是白宫内部对AI监管路径的分歧。
曾任白宫科技政策顾问的Dean Ball说：
我不喜欢监管。我希望事情不被监管。
但在这个问题上，我认为我们需要监管。
长期来看，乐观派认为AI最终会让软件变得更安全。
当最先进的模型可以写出几乎无缺陷的代码时，整个互联网的安全基线会大幅提升。
Hultquist自己也承认这一点：
最前沿的模型将让我们构建出有史以来最安全的代码。
这对网络安全来说是绝对的胜利。
但问题在于，现在已经运行着的、由人类之手写出的、充满漏洞的「数万亿行代码」，不会一夜之间消失。
加固这些存量代码可能需要好几年。
而在这个过渡期内，AI工具正在帮助黑客以前所未有的速度和规模挖掘这些遗留漏洞。
Ball把这个阶段叫做「过渡期」，并预测在这段时间里，「世界实际上可能会变得更危险」。
对于任何运行着Web管理工具、依赖2FA作为核心安全层的组织来说，这份报告传递的信号很明确，AI黑客不再是明年的事，是今天的事。
漏洞补丁的响应速度，以及对AI辅助攻击特征的监测能力，可能很快就会成为安全团队的核心KPI。

谷歌证实：AI 已被黑客用于真实网络攻击
谷歌威胁情报组（GTIG）于2026年5月12日发布报告，首次确认犯罪黑客利用AI大模型发现了未知零日漏洞，并试图发动大规模攻击
。这是网络安全领域长期担忧的"AI自动挖洞"场景首次从理论变为现实。

🔍 事件核心信息
项目    详情
攻击类型    零日漏洞攻击（厂商未知晓的缺陷）
目标系统    广泛使用的开源Web系统管理工具
攻击方式    绕过双因素认证（2FA）
攻击状态    被谷歌拦截，补丁已及时修复
AI参与证据    代码中存在明显"AI指纹"特征
🤖 如何判断是AI写的攻击代码？
谷歌研究人员在攻击脚本中发现了多个异常特征
：

教学性质注释：包含大量docstring文档字符串，人类黑客写攻击工具时不会添加
幻觉CVSS评分：AI自行编造了一个不存在的漏洞严重性评分
教科书式格式：代码结构极其规整，包含标准Python风格、详细帮助菜单和ANSI颜色类
其他佐证：谷歌表示还有更多未公开的证据支持"AI参与"结论
⚠️ 威胁态势
谷歌指出这只是冰山一角，多个攻击团体已在利用AI技术：

俄罗斯、中国、朝鲜的攻击团体正在研究和实践AI驱动的攻击手法
朝鲜黑客组织APT45已被确认通过AI提示分析已知漏洞并优化攻击方法
AI的最大威胁在于大幅提升攻击速度，从漏洞发现到攻击执行可在极短时间内完成
🛡️ 防御建议
企业层面：加强系统管理工具的访问控制，定期更新补丁
个人层面：即使使用双因素认证，也要配合强密码策略
安全团队：需要建立更快的响应机制，应对AI加速的攻击节奏
谷歌强调，AI同样可用于修复软件缺陷，未来有望整体提升安全水平，但防御方必须保持警惕
。

谷歌的这份报告揭示了AI技术在网络安全领域的双刃剑特性，一方面展示了AI帮助发现和利用零日漏洞的潜力，另一方面也强调了这种技术可能被滥用的风险。以下是对这一事件及其影响的详细分析：
AI在网络安全中的新角色

1. AI自动挖洞成为现实：谷歌报告确认，犯罪黑客利用AI大模型发现了未知的零日漏洞，这标志着安全界担心的“自动挖洞”已从理论变为现实。

2. AI辅助攻击的特征：谷歌研究人员在攻击代码中发现了异常特征，如教学性质的注释文档和不存在的CVSS评分，这些特征表明代码很可能由AI生成。

3. AI模型的识别：尽管谷歌没有透露黑客使用的是哪个AI模型，但排除了自家的Gemini和Anthropic的Claude Mythos。
AI军备竞赛与防御

1. Mythos模型的影响：Anthropic的Mythos模型发现数千个零日漏洞，促使安全界对AI在网络安全中的应用更加关注。

2. Project Glasswing：Anthropic牵头的Project Glasswing计划，旨在堵上全球关键软件的安全漏洞，反映了业界对AI发现漏洞能力的重视。

3. OpenAI的GPT-5.5-Cyber：OpenAI推出的专门面向网络安全的模型，仅向负责保护关键基础设施的防御者开放。
AI恶意软件的新趋势

1. PromptSpy恶意软件：谷歌发现的PromptSpy恶意软件能自主导航Android界面，实时监控用户行为，甚至阻止用户卸载它，显示了AI恶意软件自主决策能力的新趋势。

2. 动态更新能力：PromptSpy的命令控制基础设施可以动态更新，显示了攻击者对防御方应对手段的预判。
监管与未来展望

1. 监管的必要性：美国政府与谷歌、微软等签署协议，要求在公开发布最强AI模型之前先接受政府评估，反映了对AI监管的需求。

2. 过渡期的挑战：在AI技术的帮助下，加固存量代码需要时间，而在此期间，AI工具可能帮助黑客挖掘遗留漏洞，使世界变得更危险。

3. 安全团队的新KPI：漏洞补丁的响应速度和对AI辅助攻击特征的监测能力可能成为安全团队的核心KPI。

总的来说，这份报告强调了AI在网络安全领域的深远影响，无论是在攻击还是防御方面。随着AI技术的发展，安全团队需要提高对AI辅助攻击的监测和响应能力，同时监管机构也需要考虑如何有效地管理和限制AI技术的滥用。