谷歌确认首例利用人工智能发现的零日漏洞被用于犯罪目的
谷歌GTIG AI威胁追踪报告记录了首个利用AI创建的、绕过双因素认证的犯罪漏洞。它还识别出利用Gemini的自主Android恶意软件。
AI学会了攻破系统:谷歌如何捕获首个机器创建的零日漏洞,以及这仅仅是个开始
核心要点:真实情况
2026年5月12日将载入网络安全教科书,成为侦探小说变为现实的一天。谷歌威胁情报组发布了一份报告,记录了首个确认的利用人工智能创建的零日漏洞案例——不是在实验室里,不是作为实验,而是在一个针对开源系统管理工具进行大规模漏洞利用的活跃犯罪计划中。
这个故事既平凡又令人震惊。一个匿名犯罪团伙——有着高调入侵的历史——使用大型语言模型发现并利用了一个允许绕过双因素认证的漏洞。该漏洞旨在构成“大规模利用事件”的基础,但谷歌及时干预:漏洞被披露给开发者,并在攻击开始前发布了补丁。
为什么谷歌确信是AI编写了代码,而不是人类,这是关键。Python脚本包含“教育性”的文档字符串,采用教科书风格,结构化的注释是LLM输出的典型特征,而且最明显的是,它有一个模型编造的CVSS评分,而不是从真实数据库中提取的。人类研究人员不会写出这样的痕迹。这是机器的签名。
时间线与背景
2026年5月的事件并非凭空产生。此前数月,各方局势不断升级。
2025年8月: ESET发现了PromptLock——首个利用生成模型根据受害者调整勒索要求的AI驱动勒索软件。业界将GenAI视为恶意软件可执行代码的一部分,而非开发工具。
2026年1月: 首批Android木马VNCSpy样本从香港上传到VirusTotal。代码仍然原始——一个经典的VNC后门,没有AI组件。
2026年2月: 仅一个月后,质的飞跃。PromptSpy出现,它是VNCSpy的进化版,内置了与Gemini交互的模块。该恶意软件现在使用谷歌的API来解读受感染设备的界面并自主导航屏幕。ESET检测到从阿根廷上传的样本。其机制如下:木马获取屏幕的XML转储,将其发送给Gemini并附上指令“你是Android自动化助手”,接收包含触摸坐标的JSON响应,然后执行这些坐标。循环重复直到任务完成。
与此同时,谷歌发布了2月份的GTIG报告,首次记录了来自朝鲜和中国的国家支持组织在攻击的所有阶段使用AI——从侦察到入侵后。朝鲜的APT45通过AI运行数千个漏洞以进行验证和武器库扩展。
2026年3月: TeamPCP组织通过投毒的PyPI包和恶意拉取请求攻破了LiteLLM——一个用于处理LLM的流行网关库。AWS和GitHub凭证被盗,并通过勒索软件合作伙伴关系变现。这是一个新向量:攻击的不是模型本身,而是其周围的集成层。
2026年5月: 5月12日发布的GTIG报告使情况明朗。除了零日漏洞,它还记录了:中国组织UNC2814使用OpenClaw等代理工具持续扫描一家日本科技公司;通过角色扮演越狱从LLM中提取TP-Link固件的预认证RCE漏洞;俄罗斯影响力行动将合成音频嵌入真实新闻广播。
这些不再是孤立事件,而是一种模式。
谁赢谁输
输家——显然——是所有管理Web基础设施的人。 漏洞披露与攻击开始之间的窗口正在消失。Fortinet在一份平行报告中指出,利用尝试现在在披露后24-48小时内开始,而之前平均为4.76天。在过去一年中,勒索软件受害者数量增加了389%——从1,600增加到7,831。这是一个必须在CVE发布当天打补丁的世界,而不是在每周SLA内。
开源生态系统输了。 攻击针对的是一个开源管理工具。AI发现的语义漏洞是一个逻辑缺陷,开发者将信任假设嵌入到认证流程中,从而与双因素认证逻辑产生矛盾。传统扫描器寻找缓冲区溢出和竞争条件。它们不像人类那样阅读代码。LLM恰恰以那种方式阅读——并发现意图中的错误,而非语法错误。
手机制造商输了。 PromptSpy不需要特定坐标来按下Android上的“固定到内存”按钮。它询问Gemini,模型理解:在三星上,应用锁定通过长按完成;在小米上,向下滑动;在Pixel上,一个锁图标。同一恶意软件适用于所有设备。
谷歌赢了。 具有讽刺意味的是,其Gemini模型被PromptSpy利用的公司从整个情况中受益。GTIG通过展示在早期阶段拦截AI驱动攻击的能力,建立了声誉资本。像Big Sleep(用于漏洞发现)和CodeMender(用于自动打补丁)这样的保护工具获得了需求证据。
准备自动化的攻击者赢了。 Fortinet指出:暴力破解尝试减少了22%,但利用尝试增加了25.49%。这不是活动减少,而是从数量向质量的转变。对WormGPT、FraudGPT和HexStrike AI等工具的访问降低了进入门槛,而信息窃取程序(RedLine、Lumma、Vidar)窃取的数据——现在占暗网上所有数据集的67%——为定向攻击提供了燃料。
媒体未提及的
洞察一:漏洞不是技术性的,而是语义性的——这是核心问题。 在网络安全行业的三十年里,我们围绕发现语法错误构建防御。模糊测试寻找崩溃。静态分析寻找模式。两者都没有注意到程序员意图与实现之间的逻辑矛盾。LLM注意到了——因为它们看到语义、上下文、意图。这意味着在任何历史超过五年的项目中,都存在传统工具无法发现的未被注意的逻辑漏洞。AI发现的零日漏洞不是例外;它是淘金热的开始。
洞察二:将AI用于犯罪目的使恶意软件不可预测,因此对杀毒软件不可见。 传统杀毒软件寻找签名、行为模式、已知的API调用序列。但如果每个PromptSpy实例都基于LLM响应动态做出决策,其行为变化范围超出了任何可想象的规则库。ESET因代码中的调试标志捕获了PromptSpy。下次,标志将被移除,检测将变得困难一个数量级。
洞察三:目标不是工具,而是AI本身。 TeamPCP对LiteLLM的攻击揭示了一种新的威胁模型。攻破网关库允许拦截所有通过该工具使用LLM的用户的凭证。这是对模型周围基础设施的供应链攻击。如果攻击者获得LLM提供商的API密钥,他们可以使用他人的付费订阅来扩展自己的攻击,完全隐藏踪迹。GTIG明确指出:攻击者正在开发专业中间件,用于匿名访问高级模型并自动轮换账户。
洞察四:首个记录的零日漏洞是犯罪分子的失误,而非防御的胜利。 谷歌因不成熟的痕迹发现了漏洞:编造的CVSS、“教育性”注释。后续迭代将不包含这些标记。已经记录了在受控环境中使用OpenClaw完善AI生成漏洞的案例。这是工业化:LLM编写草稿,人类审查并清理痕迹。
预测:未来30天和90天
30天(至2026年6月中旬)。 谷歌报告的发布将引发开源行业的审计浪潮。维护Web管理界面的项目将开始收到异常类型的错误报告:“AI在第847行发现逻辑矛盾。”主流项目(Jenkins、Grafana、GitLab)的开发者将启动专门针对语义漏洞的内部审查——这是之前没有人系统搜索过的类别。
同时,在暗网论坛上,将发生重新估值。带有“幻觉”的现成漏洞将被打折,而对能够清理AI生成代码痕迹的专业人员的需求将增长。犯罪生态系统中将出现一个新的微专业:“AI漏洞清理员”。
我预计在30天内,至少有一家主要供应商(微软、思科或Palo Alto)将宣布在其代码扫描器中加入基于LLM的语义分析。这将是对GTIG所描述威胁的直接回应。
90天(至2026年8月中旬)。 语义漏洞将成为主流向量。今天,只有谷歌在谈论它们。三个月内,来自FireEye、CrowdStrike和学术团体的独立研究将出现,对LLM比人类更擅长的逻辑错误类型进行分类。到8月,至少会有5-7个由AI发现的CVE被记录——既有防御者发现的,也有攻击者发现的。
在2026年夏季的Black Hat和DEF CON大会上,AI驱动的漏洞发现将成为主导议题。我预计至少有一个演示展示自动化流水线:LLM发现漏洞,代理框架生成漏洞利用,另一个代理清理痕迹,第三个代理部署攻击。不是作为概念验证,而是作为工作链。
最令人不快的部分:窃取数据的变现模式最终将转向AI分析。信息窃取程序已经提供了暗网数据库内容的67%。在此基础上,将增加使用LLM自动分类和优先排序受害者:“这是一家开放RDP和过时vCenter的公司——勒索支付概率78%,建议金额40万美元。”这将把勒索软件提升到新的经济效率水平。
结论。 2026年5月12日记录了多年来一直警告的事情:首个AI生成的零日漏洞。但这不是终点线;这是开始。竞赛已经开始——防御者必须学会像LLM一样思考,才能超越那些已经这样做的人。GTIG的John Hultquist简洁地说:“有一种误解认为AI漏洞竞赛是不可避免的。现实是它已经在进行中。对于我们能够追溯到AI的每一个零日漏洞,可能还有许多其他我们看不到的。”
— Editorial Team
暂无评论。