新智元报道
编辑:艾伦
谷歌周一发布报告,首次确认犯罪黑客使用 AI 大模型发现了一个此前未知的零日漏洞,并差点发动大规模攻击。这件事之所以炸裂,是因为安全界担心了好几年的「AI 自动挖洞」,终于从理论变成了现实。而在 Anthropic 的 Mythos 模型已经找到数千个零日漏洞的背景下,这可能只是冰山一角。
2025 年 5 月 12 日,谷歌威胁情报组(GTIG)发了一份报告,内容只有一句话能概括,犯罪黑客用 AI 大模型,独立发现了一个零日漏洞,然后写了一个 Python 脚本准备搞大规模攻击。
谷歌拦住了。
但这件事的重点根本不在于「拦没拦住」。
重点在于,网络安全圈喊了好几年的那个噩梦场景,AI 帮黑客自动挖漏洞,现在有了第一个实锤案例。
GTIG 首席分析师 John Hultquist 在接受采访时称:
这是冰山一角。这个问题可能比我们看到的大得多,这只是我们能看到的第一个实质性证据。
这个漏洞存在于一个「广泛使用的开源 Web 系统管理工具」里,可以绕过双因素认证(2FA)。
攻击者同时还需要拿到有效的用户名和密码,但一旦两个条件凑齐,就能直接进入目标的管理后台。
谷歌没有透露这个工具的名字,也没有透露黑客团伙的身份,只说是「知名网络犯罪威胁行为者」。
谷歌在发现漏洞后第一时间通知了相关软件厂商,补丁在攻击造成实际损害之前就已经打上。
代码里的「AI 指纹」:
怎么判断是大模型写的
一个自然的追问是,谷歌凭什么判断这段攻击代码是 AI 写的?
前 NSA 网络安全主管 Rob Joyce 说:
AI 写的代码不会自己宣布自己是 AI 写的。
这话没错,但谷歌的研究人员还是在这段 Python 脚本里找到了一系列异常特征。
这些特征包括,脚本中包含大量教学性质的注释文档(docstring),这种东西人类黑客写攻击工具时完全没有理由加进去。
脚本里还出现了一个「幻觉 CVSS 评分」,就是 AI 自己编了一个漏洞严重性评分,现实中根本不存在这个分数。
整个代码的格式非常「教科书式」,用了标准的 Python 风格,包括详细的帮助菜单和整洁的 ANSI 颜色类,这些都是大模型训练数据中的典型特征。
Rob Joyce 在提前审阅了这份报告后评价说,这是「迄今为止最接近犯罪现场指纹的东西」。
Hultquist 补充说,谷歌手里还有其他能佐证「AI 参与」结论的证据,但他拒绝透露具体细节。
谷歌也没有说明黑客使用的是哪个 AI 模型,只表示大概率不是自家的 Gemini,也大概率不是 Anthropic 的 Claude Mythos。
这个漏洞本身也很有意思。
报告描述这是一个「高层语义逻辑缺陷」,源于开发者在 2FA 系统中硬编码了一个信任假设。
这种逻辑层面的 bug,传统的自动化扫描工具很难发现,但恰恰是大模型擅长捕捉的。
大模型在理解代码意图和发现逻辑矛盾方面有天然优势,这也是安全研究者最担心的地方。
Mythos 的阴影
和正在加速的 AI 军备竞赛
谷歌的这份报告落地的时间点,非常微妙。
就在一个月前,Anthropic 宣布了旗下的 Mythos 模型,然后整个安全圈就炸了。
Anthropic 自己说 Mythos 在「每一个主流操作系统和每一个主流浏览器」中都发现了零日漏洞,数量以千计,其中很多漏洞存在了几十年。
这个能力太过恐怖,以至于 Anthropic 决定不公开发布 Mythos,只向美国和英国的少数受信任机构和公司提供访问权限。
Anthropic 还牵头搞了一个叫「Project Glasswing」的计划,把亚马逊、苹果、谷歌、微软、摩根大通这些巨头拉到一起,试图在 Mythos 可能造成的冲击到来之前,先把全球关键软件的安全窟窿堵上。
https://www.anthropic.com/glasswing
OpenAI 也没闲着。
上周五,OpenAI 宣布推出了 GPT-5.5-Cyber,一个专门面向网络安全的模型,但同样只向「负责保护关键基础设施的防御者」开放。
https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber/
坦率的讲,谷歌这次捕获的零日攻击,给整个局面又加了一把火。
因为这证明了一件事,你不需要 Mythos 这种顶级模型,市面上已有的商业大模型就足以帮黑客发现和利用零日漏洞。
Mythos 代表的是天花板,但地板已经够高了。
Hultquist 的判断是:
有一种误解认为 AI 漏洞竞赛即将到来。
现实是,它已经开始了。
PromptSpy:
当恶意软件自己学会了思考
报告中还有一个细节值得单独拎出来说,谷歌发现了一款叫 PromptSpy 的 Android 恶意软件,它直接调用 Gemini 的 API 来分析用户当前的手机屏幕,然后自主决定下一步该做什么。
这玩意的能力清单读起来让人后背发凉。
它能自主导航 Android 界面,实时监控用户行为,捕获生物识别数据来重放解锁手势(比如 PIN 码和滑动图案),甚至能阻止用户卸载它。
具体的做法是,PromptSpy 会识别屏幕上「卸载」按钮的坐标,然后在按钮上方覆盖一层透明遮罩来拦截触摸事件,让用户以为按钮坏了。
更关键的是,PromptSpy 的命令控制基础设施可以动态更新,Gemini API 密钥、VNC 中继服务器这些都能在运行时远程切换。
开发者显然预判了防御方的应对手段,提前留好了退路。
谷歌已经关停了与 PromptSpy 相关的所有资产,Play Store 上也没有发现包含该恶意软件的应用。
但 PromptSpy 代表的方向,让 AI 恶意软件拥有自主决策能力,这个趋势才刚刚开始。
窗口期正在关闭
所有这些发现指向同一个结论,AI 正在同时强化攻防两端的能力,但目前攻击方的加速度更快。
Anthropic 网络政策负责人 Rob Bair 上周在华盛顿的 AI+Expo 上说,Mythos 等模型的分阶段发布是为了创造「防御者优势窗口」,而这个窗口的长度「以月计,不是以年计」。
美国政府也在紧急行动。
美国政府上周宣布与谷歌、微软和 xAI(是的,没有最强的 Anthropic 和 OpenAI 这两家)签署了新协议,要求在公开发布最强 AI 模型之前先接受政府评估。
https://www.nytimes.com/2026/05/04/technology/trump-ai-models.html
这是在延续拜登时期与 Anthropic 和 OpenAI 签署的类似协议。
但这个公告后来又从商务部网站上消失了。
混乱的信号背后,是白宫内部对 AI 监管路径的分歧。
曾任白宫科技政策顾问的 Dean Ball 说:
我不喜欢监管。我希望事情不被监管。
但在这个问题上,我认为我们需要监管。
长期来看,乐观派认为 AI 最终会让软件变得更安全。
当最先进的模型可以写出几乎无缺陷的代码时,整个互联网的安全基线会大幅提升。
Hultquist 自己也承认这一点:
最前沿的模型将让我们构建出有史以来最安全的代码。
这对网络安全来说是绝对的胜利。
但问题在于,现在已经运行着的、由人类之手写出的、充满漏洞的「数万亿行代码」,不会一夜之间消失。
加固这些存量代码可能需要好几年。
而在这个过渡期内,AI 工具正在帮助黑客以前所未有的速度和规模挖掘这些遗留漏洞。
Ball 把这个阶段叫做「过渡期」,并预测在这段时间里,「世界实际上可能会变得更危险」。
对于任何运行着 Web 管理工具、依赖 2FA 作为核心安全层的组织来说,这份报告传递的信号很明确,AI 黑客不再是明年的事,是今天的事。
漏洞补丁的响应速度,以及对 AI 辅助攻击特征的监测能力,可能很快就会成为安全团队的核心 KPI。
参考资料:
https://www.nytimes.com/2026/05/11/us/politics/google-hackers-attack-ai.html
