Google检测到黑客利用AI生成代码通过零日漏洞绕过2FA

Reddit r/artificial 新闻

摘要

谷歌威胁情报小组报告称,黑客利用AI生成代码发现并武器化一个可绕过双重身份验证的零日漏洞,标志着人工智能驱动网络犯罪的显著升级。

暂无内容
查看原文
查看缓存全文

缓存时间: 2026/05/12 16:47

# 谷歌检测到黑客利用AI生成代码,通过零日漏洞绕过双因素认证 来源:https://www.pcguide.com/news/google-detects-hackers-using-ai-generated-code-to-bypass-2fa-with-zero-day-vulnerability/ AI正被用于发现全新漏洞 PC Guide 受读者支持。当您通过我们网站上的链接购买商品时,我们可能会赚取联盟佣金。了解更多 (https://www.pcguide.com/earnings-disclaimer/) 人工智能正迅速成为网络犯罪领域的重要工具,而谷歌的一份新报告表明,各方开始更加重视这一趋势。根据该公司的最新发现,黑客现在正利用AI工具来帮助发现零日漏洞,其中包括一种能够绕过双因素认证保护的漏洞。 该报告来自谷歌威胁情报团队 (https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access),该团队最近分享了关于网络犯罪分子如何越来越依赖AI来改进攻击、创建恶意软件、自动化钓鱼活动,甚至发现开发者从未意识到的软件漏洞的详细信息。 ## 黑客似乎正在使用AI生成的代码来绕过双因素认证 最令人担忧的发现之一,是黑客试图利用一款流行的开源Web系统管理工具中此前未知的漏洞。据报道,该漏洞可能允许攻击者绕过双因素认证保护,这意味着他们可能仅凭密码就能访问账户,而跳过通常发送到手机或邮箱的额外安全验证码。 谷歌认为,AI在帮助攻击者发现并利用这一漏洞的过程中发挥了重要作用。该公司注意到了多个强烈指向AI生成代码的迹象 (https://www.pcguide.com/news/linux-kernel-now-allows-ai-generated-code-as-long-as-you-take-full-responsibility-for-any-bugs/)。攻击中使用的Python脚本据称包含了异常详细的解释性注释、过于结构化的格式,甚至还有一个虚假或“幻觉”生成的CVSS安全评分——这是大型语言模型生成内容中常见的特征。 幸运的是,谷歌表示,在该漏洞被广泛利用之前,已与受影响的供应商合作。该公司认为,黑客原本计划发动大规模攻击活动,但在那之前问题已得到修补。 ## 零日漏洞借助AI成功被发现 这种情况尤其令人担忧,因为这似乎是第一个确凿的案例,表明AI被成功用于帮助开发零日漏洞利用程序。安全研究人员多年来一直在警告,AI最终可能成为主要的网络犯罪武器,而谷歌现在表示,这一刻可能已经到来。 该报告还解释了AI被用于许多其他危险方式。一些恶意软件变种现在可以在运行时动态修改自身代码,以逃避防病毒软件的检测。其他恶意工具可以自动生成虚假代码、即时创建攻击载荷,或添加混淆层,使攻击更难以分析。 谷歌还指出,来自中国和朝鲜等国的国家级黑客组织正在大量尝试使用AI工具进行漏洞研究和漏洞利用开发。据报道,一些组织使用AI快速分析安全漏洞,并以通常需要更多时间和人力的规模测试概念验证漏洞利用程序。 虽然AI显然可用于提高生产力和软件开发,但此类报告表明,这项技术同样可以迅速转变为网络安全威胁。而根据谷歌研究人员的说法,这可能仅仅是开始。

相似文章

Google 警告称网络犯罪分子正利用 AI 制造强大的黑客工具

Reddit r/artificial

Google 警告称,网络犯罪分子和国家级攻击者正越来越多地利用 AI 快速开发复杂的黑客工具,其中包括首个已确认的由 AI 生成的零日漏洞利用。该报告强调了 AI 如何降低网络攻击的技术门槛,使得即使是低技能黑客也能执行复杂操作。

"Google首次发现威胁行为体使用了我们认为由AI开发的零日漏洞利用程序。该犯罪威胁行为体原计划将其用于大规模漏洞利用活动,但我们的主动反制发现可能已成功阻止其投入使用。"

Reddit r/ArtificialInteligence

Google威胁情报小组报告称首次发现旨在用于大规模攻击的AI生成零日漏洞利用程序,凸显出攻击者利用AI进行恶意软件开发、规避防御及发起自主网络攻击的趋势正日益加剧。