新智元報(bào)道

編輯：艾倫

【新智元導(dǎo)讀】谷歌周一發(fā)布報(bào)告，首次確認(rèn)犯罪黑客使用AI大模型發(fā)現(xiàn)了一個(gè)此前未知的零日漏洞，并差點(diǎn)發(fā)動(dòng)大規(guī)模攻擊。這件事之所以炸裂，是因?yàn)榘踩鐡?dān)心了好幾年的「AI自動(dòng)挖洞」，終于從理論變成了現(xiàn)實(shí)。而在Anthropic的Mythos模型已經(jīng)找到數(shù)千個(gè)零日漏洞的背景下，這可能只是冰山一角。

2025年5月12日，谷歌威脅情報(bào)組（GTIG）發(fā)了一份報(bào)告，內(nèi)容只有一句話(huà)能概括，犯罪黑客用AI大模型，獨(dú)立發(fā)現(xiàn)了一個(gè)零日漏洞，然后寫(xiě)了一個(gè)Python腳本準(zhǔn)備搞大規(guī)模攻擊。

谷歌攔住了。

但這件事的重點(diǎn)根本不在于「攔沒(méi)攔住」。

重點(diǎn)在于，網(wǎng)絡(luò)安全圈喊了好幾年的那個(gè)噩夢(mèng)場(chǎng)景，AI幫黑客自動(dòng)挖漏洞，現(xiàn)在有了第一個(gè)實(shí)錘案例。

GTIG首席分析師John Hultquist在接受采訪(fǎng)時(shí)稱(chēng)：

這是冰山一角。這個(gè)問(wèn)題可能比我們看到的大得多，這只是我們能看到的第一個(gè)實(shí)質(zhì)性證據(jù)。

這個(gè)漏洞存在于一個(gè)「廣泛使用的開(kāi)源Web系統(tǒng)管理工具」里，可以繞過(guò)雙因素認(rèn)證（2FA）。

攻擊者同時(shí)還需要拿到有效的用戶(hù)名和密碼，但一旦兩個(gè)條件湊齊，就能直接進(jìn)入目標(biāo)的管理后臺(tái)。

谷歌沒(méi)有透露這個(gè)工具的名字，也沒(méi)有透露黑客團(tuán)伙的身份，只說(shuō)是「知名網(wǎng)絡(luò)犯罪威脅行為者」。

谷歌在發(fā)現(xiàn)漏洞后第一時(shí)間通知了相關(guān)軟件廠(chǎng)商，補(bǔ)丁在攻擊造成實(shí)際損害之前就已經(jīng)打上。

代碼里的「AI指紋」：

怎么判斷是大模型寫(xiě)的

一個(gè)自然的追問(wèn)是，谷歌憑什么判斷這段攻擊代碼是AI寫(xiě)的？

前NSA網(wǎng)絡(luò)安全主管Rob Joyce說(shuō)：

AI寫(xiě)的代碼不會(huì)自己宣布自己是AI寫(xiě)的。

這話(huà)沒(méi)錯(cuò)，但谷歌的研究人員還是在這段Python腳本里找到了一系列異常特征。

這些特征包括，腳本中包含大量教學(xué)性質(zhì)的注釋文檔（docstring），這種東西人類(lèi)黑客寫(xiě)攻擊工具時(shí)完全沒(méi)有理由加進(jìn)去。

腳本里還出現(xiàn)了一個(gè)「幻覺(jué)CVSS評(píng)分」，就是AI自己編了一個(gè)漏洞嚴(yán)重性評(píng)分，現(xiàn)實(shí)中根本不存在這個(gè)分?jǐn)?shù)。

整個(gè)代碼的格式非?！附炭茣?shū)式」，用了標(biāo)準(zhǔn)的Python風(fēng)格，包括詳細(xì)的幫助菜單和整潔的ANSI顏色類(lèi)，這些都是大模型訓(xùn)練數(shù)據(jù)中的典型特征。

Rob Joyce在提前審閱了這份報(bào)告后評(píng)價(jià)說(shuō)，這是「迄今為止最接近犯罪現(xiàn)場(chǎng)指紋的東西」。

Hultquist補(bǔ)充說(shuō)，谷歌手里還有其他能佐證「AI參與」結(jié)論的證據(jù)，但他拒絕透露具體細(xì)節(jié)。

谷歌也沒(méi)有說(shuō)明黑客使用的是哪個(gè)AI模型，只表示大概率不是自家的Gemini，也大概率不是Anthropic的Claude Mythos。

這個(gè)漏洞本身也很有意思。

報(bào)告描述這是一個(gè)「高層語(yǔ)義邏輯缺陷」，源于開(kāi)發(fā)者在2FA系統(tǒng)中硬編碼了一個(gè)信任假設(shè)。

這種邏輯層面的bug，傳統(tǒng)的自動(dòng)化掃描工具很難發(fā)現(xiàn)，但恰恰是大模型擅長(zhǎng)捕捉的。

大模型在理解代碼意圖和發(fā)現(xiàn)邏輯矛盾方面有天然優(yōu)勢(shì)，這也是安全研究者最擔(dān)心的地方。

Mythos的陰影

和正在加速的AI軍備競(jìng)賽

谷歌的這份報(bào)告落地的時(shí)間點(diǎn)，非常微妙。

就在一個(gè)月前，Anthropic宣布了旗下的Mythos模型，然后整個(gè)安全圈就炸了。

Anthropic自己說(shuō)Mythos在「每一個(gè)主流操作系統(tǒng)和每一個(gè)主流瀏覽器」中都發(fā)現(xiàn)了零日漏洞，數(shù)量以千計(jì)，其中很多漏洞存在了幾十年。

這個(gè)能力太過(guò)恐怖，以至于Anthropic決定不公開(kāi)發(fā)布Mythos，只向美國(guó)和英國(guó)的少數(shù)受信任機(jī)構(gòu)和公司提供訪(fǎng)問(wèn)權(quán)限。

Anthropic還牽頭搞了一個(gè)叫「Project Glasswing」的計(jì)劃，把亞馬遜、蘋(píng)果、谷歌、微軟、摩根大通這些巨頭拉到一起，試圖在Mythos可能造成的沖擊到來(lái)之前，先把全球關(guān)鍵軟件的安全窟窿堵上。

https://www.anthropic.com/glasswing

OpenAI也沒(méi)閑著。

上周五，OpenAI宣布推出了GPT-5.5-Cyber，一個(gè)專(zhuān)門(mén)面向網(wǎng)絡(luò)安全的模型，但同樣只向「負(fù)責(zé)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的防御者」開(kāi)放。

https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber/

坦率的講，谷歌這次捕獲的零日攻擊，給整個(gè)局面又加了一把火。

因?yàn)檫@證明了一件事，你不需要Mythos這種頂級(jí)模型，市面上已有的商業(yè)大模型就足以幫黑客發(fā)現(xiàn)和利用零日漏洞。

Mythos代表的是天花板，但地板已經(jīng)夠高了。

Hultquist的判斷是：

有一種誤解認(rèn)為AI漏洞競(jìng)賽即將到來(lái)。

現(xiàn)實(shí)是，它已經(jīng)開(kāi)始了。

PromptSpy：

當(dāng)惡意軟件自己學(xué)會(huì)了思考

報(bào)告中還有一個(gè)細(xì)節(jié)值得單獨(dú)拎出來(lái)說(shuō)，谷歌發(fā)現(xiàn)了一款叫PromptSpy的Android惡意軟件，它直接調(diào)用Gemini的API來(lái)分析用戶(hù)當(dāng)前的手機(jī)屏幕，然后自主決定下一步該做什么。

這玩意的能力清單讀起來(lái)讓人后背發(fā)涼。

它能自主導(dǎo)航Android界面，實(shí)時(shí)監(jiān)控用戶(hù)行為，捕獲生物識(shí)別數(shù)據(jù)來(lái)重放解鎖手勢(shì)（比如PIN碼和滑動(dòng)圖案），甚至能阻止用戶(hù)卸載它。

具體的做法是，PromptSpy會(huì)識(shí)別屏幕上「卸載」按鈕的坐標(biāo)，然后在按鈕上方覆蓋一層透明遮罩來(lái)攔截觸摸事件，讓用戶(hù)以為按鈕壞了。

更關(guān)鍵的是，PromptSpy的命令控制基礎(chǔ)設(shè)施可以動(dòng)態(tài)更新，Gemini API密鑰、VNC中繼服務(wù)器這些都能在運(yùn)行時(shí)遠(yuǎn)程切換。

開(kāi)發(fā)者顯然預(yù)判了防御方的應(yīng)對(duì)手段，提前留好了退路。

谷歌已經(jīng)關(guān)停了與PromptSpy相關(guān)的所有資產(chǎn)，Play Store上也沒(méi)有發(fā)現(xiàn)包含該惡意軟件的應(yīng)用。

但PromptSpy代表的方向，讓AI惡意軟件擁有自主決策能力，這個(gè)趨勢(shì)才剛剛開(kāi)始。

窗口期正在關(guān)閉

所有這些發(fā)現(xiàn)指向同一個(gè)結(jié)論，AI正在同時(shí)強(qiáng)化攻防兩端的能力，但目前攻擊方的加速度更快。

Anthropic網(wǎng)絡(luò)政策負(fù)責(zé)人Rob Bair上周在華盛頓的AI+Expo上說(shuō)，Mythos等模型的分階段發(fā)布是為了創(chuàng)造「防御者優(yōu)勢(shì)窗口」，而這個(gè)窗口的長(zhǎng)度「以月計(jì)，不是以年計(jì)」。

美國(guó)政府也在緊急行動(dòng)。

美國(guó)政府上周宣布與谷歌、微軟和xAI（是的，沒(méi)有最強(qiáng)的Anthropic和OpenAI這兩家）簽署了新協(xié)議，要求在公開(kāi)發(fā)布最強(qiáng)AI模型之前先接受政府評(píng)估。

https://www.nytimes.com/2026/05/04/technology/trump-ai-models.html

這是在延續(xù)拜登時(shí)期與Anthropic和OpenAI簽署的類(lèi)似協(xié)議。

但這個(gè)公告后來(lái)又從商務(wù)部網(wǎng)站上消失了。

混亂的信號(hào)背后，是白宮內(nèi)部對(duì)AI監(jiān)管路徑的分歧。

曾任白宮科技政策顧問(wèn)的Dean Ball說(shuō)：

我不喜歡監(jiān)管。我希望事情不被監(jiān)管。

但在這個(gè)問(wèn)題上，我認(rèn)為我們需要監(jiān)管。

長(zhǎng)期來(lái)看，樂(lè)觀(guān)派認(rèn)為AI最終會(huì)讓軟件變得更安全。

當(dāng)最先進(jìn)的模型可以寫(xiě)出幾乎無(wú)缺陷的代碼時(shí)，整個(gè)互聯(lián)網(wǎng)的安全基線(xiàn)會(huì)大幅提升。

Hultquist自己也承認(rèn)這一點(diǎn)：

最前沿的模型將讓我們構(gòu)建出有史以來(lái)最安全的代碼。

這對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)是絕對(duì)的勝利。

但問(wèn)題在于，現(xiàn)在已經(jīng)運(yùn)行著的、由人類(lèi)之手寫(xiě)出的、充滿(mǎn)漏洞的「數(shù)萬(wàn)億行代碼」，不會(huì)一夜之間消失。

加固這些存量代碼可能需要好幾年。

而在這個(gè)過(guò)渡期內(nèi)，AI工具正在幫助黑客以前所未有的速度和規(guī)模挖掘這些遺留漏洞。

Ball把這個(gè)階段叫做「過(guò)渡期」，并預(yù)測(cè)在這段時(shí)間里，「世界實(shí)際上可能會(huì)變得更危險(xiǎn)」。

對(duì)于任何運(yùn)行著Web管理工具、依賴(lài)2FA作為核心安全層的組織來(lái)說(shuō)，這份報(bào)告?zhèn)鬟f的信號(hào)很明確，AI黑客不再是明年的事，是今天的事。

漏洞補(bǔ)丁的響應(yīng)速度，以及對(duì)AI輔助攻擊特征的監(jiān)測(cè)能力，可能很快就會(huì)成為安全團(tuán)隊(duì)的核心KPI。

參考資料：

https://www.nytimes.com/2026/05/11/us/politics/google-hackers-attack-ai.html