谷歌称已发现黑客利用人工智能发现零日漏洞的证据

来源：https://gizmodo.com/google-says-it-found-evidence-of-hackers-using-ai-to-discover-a-zero-day-vulnerability-2000757238

随着人工智能模型的功能越来越强大，有些人试图利用它们进行犯罪也就不足为奇了。

谷歌威胁情报小组周一表示，他们首次发现了一个利用零日漏洞的网络犯罪团伙，该公司认为该漏洞是在人工智能的辅助下发现的。零日漏洞指的是软件或硬件中存在的重大安全缺陷，开发者对此毫不知情，因此开发者只有“零天”的时间来修复漏洞，以免攻击者利用它。

谷歌并未指明攻击者的具体名称，但称其为“知名”网络犯罪集团。据称，该攻击者计划利用此漏洞发起大规模攻击。谷歌认为已成功阻止了该漏洞被利用。

根据GTIG 的报告，谷歌对与此次攻击活动相关的漏洞利用程序进行了分析，发现一个 Python 脚本中存在零日漏洞。该漏洞允许黑客绕过一款未具名但流行的开源 Web 系统管理工具的双因素身份验证。谷歌指出，黑客仍然需要有效的用户凭据才能利用该漏洞。

GTIG表示，他们已与受影响的供应商合作，披露并解决了这一安全漏洞。

报告还指出，根据漏洞利用的结构和内容，谷歌“高度确信”黑客很可能使用了人工智能模型来帮助发现和利用该漏洞。

报告指出：“例如，该脚本包含大量教育性文档字符串，包括一个虚构的 CVSS 分数，并使用了结构化的、教科书式的 Python 格式，这是 LLM 训练数据的一个显著特征（例如，详细的帮助菜单和干净的 _C ANSI 颜色类）。”

谷歌还指出，它不认为使用了其自家的Gemini模型。

在人们对先进人工智能模型构成的网络安全威胁日益关注之际，尤其是在Anthropic公司有限发布其Mythos模型之后，这一消息显得尤为重要。Anthropic公司通过一项旨在帮助特定公司、组织和政府机构测试和加强网络安全的项目，仅向他们提供Mythos模型。

此次有限发布引起了不小的轰动，促使特朗普政府考虑放弃与 Anthropic 的争端，并与更多人工智能公司达成协议，允许政府在公开发布前审查其模型。

不过，并非所有人都认为克苏鲁神话像人们所说的那样重要。

周一，Curl 首席开发人员 Daniel Stenberg在一篇博客文章中将围绕 Mythos 的炒作描述为“一次成功的营销噱头”。

斯坦伯格写道，他参与了 Anthropic 的“Glasswing 项目”，该项目允许公司将他们的代码提交给 Anthropic，由 Mythos 分析其安全漏洞。

开发人员最终收到Anthropic公司的一份报告，其中列出了五个“已确认的安全漏洞”。但经过仔细检查后，Stenberg和他的团队确定其中只有一个是真实存在的、未知的安全问题。

“然而，我个人的结论只能是，迄今为止围绕这款模型的巨大炒作主要源于营销，”斯坦伯格写道。“我没有看到任何证据表明，与Mythos之前的其他工具相比，这套系统能够发现更高或更先进的问题。”

阅读最新前沿科技趋势报告，请访问21世纪关键技术研究院的“未来知识库”

未来知识库是 “21世纪关键技术研究院”建 立的在线知识库平台，收藏的资料范围包括人工智能、脑科学、互联网、超级智能，数智大脑、能源、军事、经济、人类风险等等领域的前沿进展与未来趋势。目前拥有超过8000篇重要资料。每周更新不少于100篇世界范围最新研究资料。 欢迎扫描二维码或访问https://wx.zsxq.com/group/454854145828进入。

截止到2月28日 ”未来知识库”精选的百部前沿科技趋势报告

（加入未来知识库，全部资料免费阅读和下载）