谷歌威胁情报小组(GTIG)近日发布报告,首次确认有网络犯罪分子利用人工智能(AI)独立发现并武器化了一个零日漏洞,并计划用于大规模攻击。
据谷歌的报告,该漏洞存在于一款流行的开源 Web 管理平台中,是一个双因素认证(2FA)绕过漏洞。犯罪分子疑似使用 AI 模型完成了漏洞发现和利用代码的开发,并试图将其用于一场大规模入侵行动。
谷歌表示,他们已与受影响的供应商合作,披露并解决了这一安全漏洞。
漏洞细节:开发者“硬编码”信任埋下隐患
此次攻击针对的是企业广泛使用的基于网页的系统管理工具。
这类工具用于远程配置和管理服务器、网站及应用程序,涵盖安全设置、员工账户管理及系统数据访问权限等核心功能,一旦被攻击者突破,将对企业信息安全构成严重威胁。
漏洞根源在于开发者在认证流程中硬编码了一个信任例外:系统默认来自内部 IP 地址的请求无需 2FA 验证。攻击者可通过伪造 HTTP 头(如 X-Forwarded-For)轻松绕过这一机制。
谷歌指出,这种高层次的逻辑缺陷正是现代 AI 模型越来越擅长发现的类型:“模糊测试工具和静态分析工具擅长检测数据流崩溃问题,但前沿大语言模型(LLM)却擅长识别这类高层语义缺陷和硬编码的静态异常。”
AI 生成代码的“指纹”:教学式注释与幻觉评分
谷歌分析师在逆向攻击脚本时,发现了多处典型的 AI 生成痕迹:
- 教学式文档字符串:代码中包含大量教程性质的注释,人类恶意软件开发人员通常不会写这种多余内容。
- 虚构的 CVSS 评分:脚本中出现了一个现实中不存在的 CVSS 分数,属于典型的 AI “幻觉”。
- 教科书式代码结构:严格遵循 PEP8 规范,包含整洁的帮助菜单和完整的 ANSI 颜色类,与 LLM 训练数据风格高度一致。
谷歌在报告中未透露涉事网络犯罪组织的名称、受影响的软件,以及黑客所使用的大型语言模型。并明确表示,该攻击未使用自家的 Gemini 模型,也大概率不是 Anthropic 的 Claude Mythos。
安全专家警告:AI 漏洞竞赛已经开始
谷歌威胁情报小组首席分析师 John Hultquist 直言:“有一种误解认为 AI 辅助漏洞挖掘还是未来的事,现实是它早已开始。每一个我们能追溯到 AI 参与的零日漏洞背后,可能还有更多我们没发现的。”
他强调,攻击者正在利用 AI 提升攻击的速度、规模和复杂程度,包括测试攻击路径、持久化控制、构建更先进的恶意软件等。尽管犯罪团伙的手法目前仍显“笨拙”——本次漏洞利用实现中的一些错误可能干扰了攻击计划——但这种情况不会持续太久。在 云栈社区 的安全板块中,类似的 AI 攻防讨论也日益增多。
防御启示:时间窗口已被压缩
谷歌报告还披露了其他 AI 恶意软件案例,例如利用 Gemini API 实现自主操作的 Android 后门。这些案例共同表明:AI 大幅降低了漏洞挖掘与利用的门槛,传统的“补丁后利用”时间窗口已变为负数。防御方必须尽快部署 AI 对抗 AI,才能在这场 安全/渗透/逆向 竞赛中不落下风。
参考来源:
Google entdeckt erstmals KI-basierten Zero-Day-Exploit
https://www.csoonline.com/article/4170601/google-entdeckt-erstmals-ki-basierten-zero-day-exploit.html | 
发表于 2 小时前
|
查看: 4|
回复: 0
