谷歌首次披露：AI发现零日漏洞并武器化攻击

谷歌的安全团队上周一发布了一份让他们自己都感到不安的报告。攻击者利用人工智能发现了一处连谷歌开发者都未曾察觉的软件重大漏洞，并试图将其武器化用于大规模攻击。这是业界首次确认AI被用于发现和利用零日漏洞的真实案例。

所谓零日漏洞，指的是软件开发者尚未知晓的安全缺陷。由于官方毫无防备，攻击者可以在防御方反应过来之前自由行动，造成的破坏往往难以估量。此次被发现的漏洞位于一款"流行的开源Web系统管理工具"中，攻击者一旦掌握用户的用户名和密码，就能绕过双因素认证——这通常是普通用户账户的最后一道防线。

谷歌威胁情报小组在报告中写道："我们有高度信心，攻击者可能利用AI模型来支持该漏洞的发现和武器化。"报告未透露攻击者身份和具体发生时间，但明确指出这是首个经证实的AI辅助零日漏洞利用案例。

攻击者的计划相当大胆。谷歌研究人员表示，这名"犯罪威胁行为者"原本打算发起大规模利用事件，但谷歌的主动反制发现可能阻止了其实际使用。考虑到多数用户密码强度不足或早已泄露，绕过双因素认证的能力即使配合有限信息也可能造成灾难性后果。

谷歌威胁情报小组首席分析师约翰·赫尔奎斯特对《纽约时报》表示："这只是冰山一角。我们相信这个问题可能严重得多，这只是我们能看到的第一个确凿证据。"他的判断指向一个令人担忧的趋势：AI发现漏洞的能力正在从理论走向实战。

这一事件恰逢Anthropic上月发布Claude Mythos模型之际。该公司声称该AI系统能在用户指示下"在每个主流操作系统和每个主流浏览器中发现零日漏洞"，因其潜在破坏力巨大，仅向精选的企业和政府机构开放。这一能力已引发政府领导人和安全专家的普遍警觉。

AI的网络安全威胁源于其编写和解析代码的能力持续精进，这一能力正被科技和金融行业迅速采纳。与AI生成的文本类似，AI代码也有其特征，只是更为隐蔽。谷歌研究人员发现，攻击者的恶意代码中包含大量解释代码的文档字符串、部分幻觉文本——这些痕迹成为识别AI参与的关键线索。

报告没有透露更多技术细节，但已足以让整个安全行业重新审视防御策略。当AI开始主动寻找人类开发者遗漏的漏洞，传统的安全响应节奏是否还能跟上？