谷歌首度證實：黑客已開始用AI發(fā)動真實網(wǎng)絡(luò)攻擊！

新智元報道

編輯：艾倫

【新智元導(dǎo)讀】谷歌周一發(fā)布報告，首次確認(rèn)犯罪黑客使用AI大模型發(fā)現(xiàn)了一個此前未知的零日漏洞，并差點發(fā)動大規(guī)模攻擊。這件事之所以炸裂，是因為安全界擔(dān)心了好幾年的「AI自動挖洞」，終于從理論變成了現(xiàn)實。而在Anthropic的Mythos模型已經(jīng)找到數(shù)千個零日漏洞的背景下，這可能只是冰山一角。

2025年5月12日，谷歌威脅情報組（GTIG）發(fā)了一份報告，內(nèi)容只有一句話能概括，犯罪黑客用AI大模型，獨立發(fā)現(xiàn)了一個零日漏洞，然后寫了一個Python腳本準(zhǔn)備搞大規(guī)模攻擊。

谷歌攔住了。

但這件事的重點根本不在于「攔沒攔住」。

重點在于，網(wǎng)絡(luò)安全圈喊了好幾年的那個噩夢場景，AI幫黑客自動挖漏洞，現(xiàn)在有了第一個實錘案例。

GTIG首席分析師John Hultquist在接受采訪時稱：

這是冰山一角。這個問題可能比我們看到的大得多，這只是我們能看到的第一個實質(zhì)性證據(jù)。

這個漏洞存在于一個「廣泛使用的開源Web系統(tǒng)管理工具」里，可以繞過雙因素認(rèn)證（2FA）。

攻擊者同時還需要拿到有效的用戶名和密碼，但一旦兩個條件湊齊，就能直接進入目標(biāo)的管理后臺。

谷歌沒有透露這個工具的名字，也沒有透露黑客團伙的身份，只說是「知名網(wǎng)絡(luò)犯罪威脅行為者」。

谷歌在發(fā)現(xiàn)漏洞后第一時間通知了相關(guān)軟件廠商，補丁在攻擊造成實際損害之前就已經(jīng)打上。

代碼里的「AI指紋」：

怎么判斷是大模型寫的

一個自然的追問是，谷歌憑什么判斷這段攻擊代碼是AI寫的？

前NSA網(wǎng)絡(luò)安全主管Rob Joyce說：

AI寫的代碼不會自己宣布自己是AI寫的。

這話沒錯，但谷歌的研究人員還是在這段Python腳本里找到了一系列異常特征。

這些特征包括，腳本中包含大量教學(xué)性質(zhì)的注釋文檔（docstring），這種東西人類黑客寫攻擊工具時完全沒有理由加進去。

腳本里還出現(xiàn)了一個「幻覺CVSS評分」，就是AI自己編了一個漏洞嚴(yán)重性評分，現(xiàn)實中根本不存在這個分?jǐn)?shù)。

整個代碼的格式非常「教科書式」，用了標(biāo)準(zhǔn)的Python風(fēng)格，包括詳細(xì)的幫助菜單和整潔的ANSI顏色類，這些都是大模型訓(xùn)練數(shù)據(jù)中的典型特征。

Rob Joyce在提前審閱了這份報告后評價說，這是「迄今為止最接近犯罪現(xiàn)場指紋的東西」。

Hultquist補充說，谷歌手里還有其他能佐證「AI參與」結(jié)論的證據(jù)，但他拒絕透露具體細(xì)節(jié)。

谷歌也沒有說明黑客使用的是哪個AI模型，只表示大概率不是自家的Gemini，也大概率不是Anthropic的Claude Mythos。

這個漏洞本身也很有意思。

報告描述這是一個「高層語義邏輯缺陷」，源于開發(fā)者在2FA系統(tǒng)中硬編碼了一個信任假設(shè)。

這種邏輯層面的bug，傳統(tǒng)的自動化掃描工具很難發(fā)現(xiàn)，但恰恰是大模型擅長捕捉的。

大模型在理解代碼意圖和發(fā)現(xiàn)邏輯矛盾方面有天然優(yōu)勢，這也是安全研究者最擔(dān)心的地方。

Mythos的陰影

和正在加速的AI軍備競賽

谷歌的這份報告落地的時間點，非常微妙。

就在一個月前，Anthropic宣布了旗下的Mythos模型，然后整個安全圈就炸了。

Anthropic自己說Mythos在「每一個主流操作系統(tǒng)和每一個主流瀏覽器」中都發(fā)現(xiàn)了零日漏洞，數(shù)量以千計，其中很多漏洞存在了幾十年。

這個能力太過恐怖，以至于Anthropic決定不公開發(fā)布Mythos，只向美國和英國的少數(shù)受信任機構(gòu)和公司提供訪問權(quán)限。

Anthropic還牽頭搞了一個叫「Project Glasswing」的計劃，把亞馬遜、蘋果、谷歌、微軟、摩根大通這些巨頭拉到一起，試圖在Mythos可能造成的沖擊到來之前，先把全球關(guān)鍵軟件的安全窟窿堵上。

https://www.anthropic.com/glasswing

OpenAI也沒閑著。

上周五，OpenAI宣布推出了GPT-5.5-Cyber，一個專門面向網(wǎng)絡(luò)安全的模型，但同樣只向「負(fù)責(zé)保護關(guān)鍵基礎(chǔ)設(shè)施的防御者」開放。

https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber/

坦率的講，谷歌這次捕獲的零日攻擊，給整個局面又加了一把火。

因為這證明了一件事，你不需要Mythos這種頂級模型，市面上已有的商業(yè)大模型就足以幫黑客發(fā)現(xiàn)和利用零日漏洞。

Mythos代表的是天花板，但地板已經(jīng)夠高了。

Hultquist的判斷是：

有一種誤解認(rèn)為AI漏洞競賽即將到來。

現(xiàn)實是，它已經(jīng)開始了。

PromptSpy：

當(dāng)惡意軟件自己學(xué)會了思考

報告中還有一個細(xì)節(jié)值得單獨拎出來說，谷歌發(fā)現(xiàn)了一款叫PromptSpy的Android惡意軟件，它直接調(diào)用Gemini的API來分析用戶當(dāng)前的手機屏幕，然后自主決定下一步該做什么。

這玩意的能力清單讀起來讓人后背發(fā)涼。

它能自主導(dǎo)航Android界面，實時監(jiān)控用戶行為，捕獲生物識別數(shù)據(jù)來重放解鎖手勢（比如PIN碼和滑動圖案），甚至能阻止用戶卸載它。

具體的做法是，PromptSpy會識別屏幕上「卸載」按鈕的坐標(biāo)，然后在按鈕上方覆蓋一層透明遮罩來攔截觸摸事件，讓用戶以為按鈕壞了。

更關(guān)鍵的是，PromptSpy的命令控制基礎(chǔ)設(shè)施可以動態(tài)更新，Gemini API密鑰、VNC中繼服務(wù)器這些都能在運行時遠(yuǎn)程切換。

開發(fā)者顯然預(yù)判了防御方的應(yīng)對手段，提前留好了退路。

谷歌已經(jīng)關(guān)停了與PromptSpy相關(guān)的所有資產(chǎn)，Play Store上也沒有發(fā)現(xiàn)包含該惡意軟件的應(yīng)用。

但PromptSpy代表的方向，讓AI惡意軟件擁有自主決策能力，這個趨勢才剛剛開始。

窗口期正在關(guān)閉

所有這些發(fā)現(xiàn)指向同一個結(jié)論，AI正在同時強化攻防兩端的能力，但目前攻擊方的加速度更快。

Anthropic網(wǎng)絡(luò)政策負(fù)責(zé)人Rob Bair上周在華盛頓的AI+Expo上說，Mythos等模型的分階段發(fā)布是為了創(chuàng)造「防御者優(yōu)勢窗口」，而這個窗口的長度「以月計，不是以年計」。

美國政府也在緊急行動。

美國政府上周宣布與谷歌、微軟和xAI（是的，沒有最強的Anthropic和OpenAI這兩家）簽署了新協(xié)議，要求在公開發(fā)布最強AI模型之前先接受政府評估。

https://www.nytimes.com/2026/05/04/technology/trump-ai-models.html

這是在延續(xù)拜登時期與Anthropic和OpenAI簽署的類似協(xié)議。

但這個公告后來又從商務(wù)部網(wǎng)站上消失了。

混亂的信號背后，是白宮內(nèi)部對AI監(jiān)管路徑的分歧。

曾任白宮科技政策顧問的Dean Ball說：

我不喜歡監(jiān)管。我希望事情不被監(jiān)管。

但在這個問題上，我認(rèn)為我們需要監(jiān)管。

長期來看，樂觀派認(rèn)為AI最終會讓軟件變得更安全。

當(dāng)最先進的模型可以寫出幾乎無缺陷的代碼時，整個互聯(lián)網(wǎng)的安全基線會大幅提升。

Hultquist自己也承認(rèn)這一點：

最前沿的模型將讓我們構(gòu)建出有史以來最安全的代碼。

這對網(wǎng)絡(luò)安全來說是絕對的勝利。

但問題在于，現(xiàn)在已經(jīng)運行著的、由人類之手寫出的、充滿漏洞的「數(shù)萬億行代碼」，不會一夜之間消失。

加固這些存量代碼可能需要好幾年。

而在這個過渡期內(nèi)，AI工具正在幫助黑客以前所未有的速度和規(guī)模挖掘這些遺留漏洞。

Ball把這個階段叫做「過渡期」，并預(yù)測在這段時間里，「世界實際上可能會變得更危險」。

對于任何運行著Web管理工具、依賴2FA作為核心安全層的組織來說，這份報告?zhèn)鬟f的信號很明確，AI黑客不再是明年的事，是今天的事。

漏洞補丁的響應(yīng)速度，以及對AI輔助攻擊特征的監(jiān)測能力，可能很快就會成為安全團隊的核心KPI。

參考資料：

https://www.nytimes.com/2026/05/11/us/politics/google-hackers-attack-ai.html