谷歌首次表示,它已经发现并阻止了人工智能开发的零日漏洞。根据谷歌威胁情报组(GTIG)的一份报告,“著名的网络犯罪威胁行为者”正计划利用该漏洞进行“大规模利用事件”,这将使他们能够绕过未命名的“开源、基于网络的系统管理工具”的双因素身份验证。 谷歌的研究人员在用于该漏洞的 Python 脚本中发现了暗示来自 AI 的帮助,例如“幻觉的 CVSS 分数”和与 LLM 训练数据一致的“结构化教科书”格式。该漏洞利用了平台 2FA 系统中的“开发人员硬编码信任假设的高级语义逻辑缺陷”。在此之前,人们对 Anthropic 的 Mythos 等专注于网络安全的 AI 模型的功能以及最近披露的在 AI 协助下发现的 Linux 漏洞进行了数周的担忧。 这是谷歌第一次发现人工智能参与此类攻击的证据,尽管谷歌的研究人员指出,他们“不相信有人使用了 Gemini”。谷歌表示,它能够“破坏”这一特定漏洞,但也表示,黑客越来越多地使用人工智能来查找和利用安全漏洞。该报告还提到人工智能是攻击者的目标,并表示“GTIG 观察到对手越来越多地瞄准赋予人工智能系统实用性的集成组件,例如自主技能和第三方数据连接器。” 谷歌的报告还详细介绍了黑客如何使用“角色驱动的越狱”让人工智能为他们找到安全漏洞,例如指示人工智能假装自己是安全专家的示例提示。黑客还向 AI 模型提供整个漏洞数据存储库,并以“有兴趣在受控设置中精炼 AI 生成的有效负载,以在部署之前提高漏洞利用可靠性”的方式使用 OpenClaw。