谷歌确认犯罪黑客首次利用AI发现零日漏洞

发布日期: 2026-05-12 阅读时间: 5分钟网络安全 / AI威胁

2026年5月12日，谷歌威胁情报部门确认了一件安全专家们担忧多年的事：犯罪黑客利用人工智能发现并武器化了一个此前未知的软件漏洞。这是首例公开确认的犯罪团伙AI驱动零日漏洞利用事件，标志着网络安全行业的一个分水岭时刻。

事件经过：首例AI驱动的零日攻击

谷歌观察到一群"威胁行为者"正在策划一场依赖零日漏洞的大型行动。该漏洞允许他们绕过双因素认证，入侵一个广泛使用的在线系统管理工具。谷歌拒绝透露具体工具名称和受影响公司。

零日漏洞指的是安全工程师尚无时间修复的未知漏洞。这起事件的特殊之处在于漏洞发现方式：谷歌分析发现攻击者利用了AI大语言模型——与驱动主流聊天机器人的技术相同——来发现该漏洞。

"我们有高度信心认为该行为者很可能利用了AI模型来支持该漏洞的发现和武器化，"谷歌报告指出。

谷歌威胁情报首席分析师John Hultquist直言："它已经来了。AI驱动的漏洞发现和利用时代已经到来。"

谷歌通知了受影响公司和执法机构，并在行动造成任何损害之前成功阻止了该行动。但谷歌对攻击者和目标的信息披露有限。

谷歌披露的关键细节：

Hultquist指出，与中国和朝鲜有关的组织也在探索类似的AI辅助技术，暗示这起事件可能只是冰山一角。

谷歌公告的时机意义重大。就在一个月前，Anthropic发布了Mythos——一个专门为安全漏洞研究设计的AI模型。Mythos在发现软件漏洞方面表现出色，以至于Anthropic选择仅与美国和英国的有限公司及政府机构共享，而非公开发布。

Hacker News社区对Mythos的宣传提出了重要质疑。部分接触过Cyber版本的用户指出，Mythos在网络安全工作中的表现虽好，但相比经过适当提示工程的前代模型，提升幅度有限。也有人质疑谷歌的"高度信心"归因是否基于截获的LLM对话记录，还是仅从漏洞特征推断。

无论使用的是哪个具体模型，更大的趋势已经明确：AI模型在代码分析和漏洞发现方面的能力正在快速提升。无论是Mythos、GPT 5.5、Gemini还是开源替代方案，AI辅助漏洞挖掘的门槛都在迅速降低。

Hultquist指出了一个关键的不对称性：与通常缓慢、隐蔽运作的政府间谍不同，犯罪黑客从AI的速度优势中获益最多。

"这是你和他们之间的一场竞赛，看能否在他们获取到足以勒索你的数据或发动勒索软件攻击之前阻止他们，"Hultquist说。"AI将是一个巨大优势，因为他们的行动速度可以快得多。"

这种速度优势体现在多个方面：

这一事件发生在美国政策辩论的关键时刻。在废除拜登总统的AI监管框架后，特朗普政府在AI监管问题上释放了矛盾信号。

美国创新基金会高级研究员、前白宫科技政策顾问Dean Ball道出了其中的张力："我不喜欢监管，我倾向于不监管事物。但在这个问题上，我认为我们需要监管。"

挑战在于如何找到一种监管方式，既能应对AI带来的网络安全风险，又不扼杀创新。随着Mythos等模型展示出强大的漏洞发现能力，谁能使用这些工具、在什么条件下使用，变得日益紧迫。

这起事件预示着网络安全领域的几个转变：

如果AI能在数小时内发现零日漏洞，传统的90天披露窗口就显得过于危险。组织需要假设他们正在修补的任何漏洞可能已被攻击者知晓。

防御方必须使用与攻击者相同的AI工具。自动化代码扫描、AI驱动的漏洞分类和实时漏洞监控已成为必需品，而非锦上添花。

谷歌选择仅与美英部分机构共享发现，凸显了一个矛盾：广泛披露有助于更多防御者，但也可能惊动攻击者。在AI加速的威胁环境中，更快、更广泛的共享可能势在必行。

AI降低了攻击者的门槛，却提高了防御者理解和应对AI驱动威胁的要求。安全团队需要快速提升技能，否则将面临落后风险。

首例AI驱动的零日攻击是一次警告。让漏洞发现对防御者更快更便宜的技术，同样也让攻击者受益。竞赛已经开始——AI驱动的漏洞利用时代已经到来。

信息来源： AP News | Hacker News讨论 | 相关文章： AI正在打破两种漏洞文化