原文:Hackers used AI to craft zero-day attack to bypass 2FA: Google
谷歌的威胁情报小组表示,它“高度确信”威胁行为者使用人工智能模型来帮助发现流行系统管理工具中的漏洞并将其武器化。
谷歌威胁情报小组表示,它发现了有史以来首例黑客利用人工智能开发零日漏洞的案例。
该组织在周二的博客文章中表示,它“观察到著名的网络犯罪威胁参与者合作计划大规模漏洞利用行动”,利用零日漏洞绕过未命名的“流行的开源、基于网络的系统管理工具”的双因素身份验证。
该漏洞首先需要有效的用户凭据,但绕过了第二个身份验证因素,该因素通常也用于保护加密帐户和钱包的安全。
人工智能已越来越多地用于网络安全和寻求实施漏洞或诈骗的加密货币黑客。人工智能公司 Anthropic 上个月声称,其最新的人工智能模型 Claude Mythos 在主要系统中发现了数千个软件漏洞。
谷歌表示,它“高度确信攻击者可能利用人工智能模型来支持该漏洞的发现和武器化”,因为该漏洞的脚本包括幻觉和人工智能模型训练数据的“高度特征”格式。
该报告没有具体说明威胁者,但谷歌表示,中国和朝鲜“对利用人工智能发现漏洞表现出了浓厚的兴趣”。
法学硕士擅长高级缺陷识别
谷歌表示,该漏洞并非源于内存损坏等“常见实现错误”,而是源于开发人员对信任假设进行硬编码的“高级语义逻辑缺陷”。
谷歌补充说,这意味着攻击者使用了前沿大语言模型(LLM),因为该模型擅长识别高级缺陷和“硬编码静态异常”。
相关:像 OpenClaw 这样的人工智能代理可能会耗尽资源