太长不看版

  • 时间:2026年5月11日,Google 威胁情报组(GTIG)发布重磅报告
  • 核心发现:Google 以"高置信度"确认一个犯罪黑客组织使用 AI 大语言模型发现了零日漏洞
  • 攻击目标:某流行在线系统管理工具,漏洞可以完全绕过双因素认证(2FA)
  • 计划规模:黑客准备发起"大规模利用事件",Google 在造成损失前主动拦截
  • 使用的 AI 模型:Google 认为既不是自家的 Gemini 也不是 Anthropic 的 Claude Mythos,但未公开具体模型
  • 历史意义:这是公开记录中首次确认犯罪黑客在真实攻击中使用 AI 发现零日

事件全貌:GTIG 报告说了什么

5月11日,Google 威胁情报组(Google Threat Intelligence Group,GTIG)发布了题为《Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access》的报告。这份报告是对2026年2月报告的延续,展示了 AI 工具在对抗性工作流中的应用正从早期探索进入工业化规模阶段。

报告中最引人注目的发现是:GTIG 首次确认追踪到一个真实犯罪黑客组织,他们使用 AI 大语言模型发现了零日漏洞,并将其武器化。Google 首席分析师 John Hultquist 直言:"It's here. The era of AI-driven vulnerability and exploitation is already here."(它来了。AI 驱动的漏洞发现和利用时代已经到了。)

GTIG 通过主动追踪发现了该组织的计划,并通知了受影响的软件厂商和执法部门,在攻击造成实质损失前切断了这条攻击链。

"The criminal threat actor planned to use it in a mass exploitation event but our proactive counter discovery may have prevented its use."

— Google Threat Intelligence Group 报告原文

技术细节:零日漏洞与 2FA 绕过

根据 Google 和 AP News 的报道,攻击的技术细节如下:

  • 漏洞类型:零日漏洞,存在于一款流行的在线系统管理工具中
  • 攻击效果:成功绕过该工具的 2FA 双因素认证机制
  • 发现方式:黑客使用 AI 大语言模型对软件进行代码审查和测试,发现并确认了可利用的漏洞点
  • 目标系统:Google 未公开具体产品名称,仅描述为"a popular online system administration tool"

值得注意的是,Google 认为该黑客组织使用的 AI 模型既非自家的 Gemini,也非 Anthropic 的 Mythos。这说明当前市面上已有足够强大的开源或闭源 AI 模型可以被恶意利用。GTIG 报告中提到,黑客正通过"professionalized middleware and automated registration pipelines"匿名获取付费模型的访问权限。

Google 对黑客身份的标注是"criminal threat actor",排除了国家背景的 APT 组织。但报告也指出,与中国和朝鲜有关的威胁组织正在积极研究类似的技术路线。

大背景:AI 安全军备竞赛全面升级

这次事件不是孤立发生的。2026年上半年的 AI 安全领域早已暗流涌动:

Anthropic Mythos — 攻防一体双刃剑

4月,Anthropic 发布了 Mythos 模型,它在漏洞发现能力上达到了前所未有的水平。Anthropic 因担心其滥用风险推迟了公开发布,目前仅向 Apple、CrowdStrike、Microsoft、Palo Alto Networks 等精选测试方提供访问。白宫为此专门召开了技术领袖会议讨论安全问题。

OpenAI GPT-5.5-Cyber — 面向安全的受控发布

就在上周(5月7日),OpenAI 发布了 GPT-5.5-Cyber,这是旗舰模型的变体版本,专门面向经过审查的安全团队开放预览。这说明头部 AI 厂商已经认识到模型安全能力的双刃性。

GTIG 报告中其他值得关注的趋势

Google 的报告还披露了以下趋势:

  • AI 辅助恶意软件开发:与俄罗斯有关联的威胁组织利用 AI 加速开发混淆网络和包含 AI 生成逻辑的多态恶意软件
  • 自主恶意软件操作:名为 PROMPTSPY 的 AI 恶意软件展示了自主攻击编排能力,模型能解释系统状态、动态生成命令并操纵受害者环境
  • AI 赋能信息操作:亲俄罗斯的信息战行动"Operation Overload"利用 AI 生成合成媒体和深度伪造内容来制造数字共识
  • 供应链接攻击:称为"TeamPCP"的威胁组织开始针对 AI 环境和软件依赖作为初始访问向量

防御者视角:AI 既是矛也是盾

Google 在报告中也强调了 AI 在防御端的应用。GTIG 写道:"攻击者很少回避实验和创新,我们也是。"

  • Big Sleep:Google 自家的 AI 代理,用于主动发现软件漏洞
  • CodeMender:利用 Gemini 推理能力自动修复安全漏洞
  • AI 驱动的威胁检测:Gemini 的检测能力被用于识别和阻止恶意活动

John Hultquist 指出,与国家背景的间谍组织相比,犯罪黑客从 AI 的"速度优势"中获益最多。"It's a race between you and them. AI is going to be a huge advantage because they can move a lot faster."(这是一场和你之间的赛跑。AI 会带来巨大优势,因为他们行动更快。)

对企业和开发者的安全启示

这次事件给所有人敲响了警钟:

1. 2FA 不再是万能药

这次漏洞的核心效果是绕过双因素认证。如果你的系统完全依赖 2FA 作为最后一道防线,是时候重新评估了。考虑硬件安全密钥(如 YubiKey)、基于 FIDO2 的无密码认证、以及零信任架构。

2. AI 攻击面正在扩大

黑客现在可以用 AI 批量扫描和分析软件中的漏洞。你的代码可能不是不够安全,而是攻击者现在有了一个能日以继夜分析每一个分支的 AI 研究员。代码审查、SAST/DAST 工具、以及 AI 驱动的安全测试应该成为 CI/CD 管线的标配。

3. 第三方依赖风险加剧

GTIG 报告中提到的供应链接攻击(TeamPCP)指向同一个结论:你的安全取决于整个供应链中最薄弱的环节。就像上周的 TanStack npm 投毒事件,供应链安全需要持续关注。

4. 监控和响应速度是关键

Google 能拦截这次攻击是因为他们提前发现了威胁迹象。大多数企业不具备 Google 级别的威胁情报能力,但可以通过部署 EDR/XDR 解决方案、参与情报共享计划、以及建立高效的应急响应流程来提升防御能力。

总结

2026年5月11日必将成为网络安全史上的一个里程碑。Google GTIG 的报告首次证实了安全界多年来警告的事情:AI 赋予黑客的能力已经进入了实战阶段。这不是未来预测,这是正在发生的事实。

好消息是,Google 成功拦截了这次攻击。坏消息是,这是第一次,但不会是最后一次。

正如 Foundation for American Innovation 高级研究员 Dean Ball(前白宫技术政策顾问)所说:"Some people don't want there to be a regulatory response to this and others do. I don't like regulation. I would prefer for things not to be regulated. But I think we need to in this case."(有人不希望对此进行监管,有人希望。我不喜欢监管。我宁愿不监管。但我认为这次我们可能需要。)

对于企业安全团队和开发者来说,最好的应对不是等待监管,而是立即行动:重新审视认证策略、加强供应链安全、部署 AI 驱动的安全工具、并准备好迎接 AI 赋能的攻击时代。

毕竟,猫鼠游戏已经升级了。