谷歌发现首个人工智能开发的零日漏洞

谷歌证实了第一例利用人工智能开发的零日漏洞。该公司的威胁情报小组（GTIG）于 2026 年 5 月 11 日发布了人工智能威胁跟踪报告，详细描述了一个著名的网络犯罪团伙如何利用人工智能模型识别并利用流行的开源网络管理工具中的一个安全漏洞。该漏洞绕过了双因素身份验证。谷歌与受影响的供应商合作修补了该漏洞，并认为谷歌的干预可能在该组织计划的大规模利用活动启动之前就已经打乱了其计划。

GTIG 表示我们非常确信是人工智能模型而非人类研究人员编写了 Python 漏洞利用脚本。代码暴露了它的身份。它包含了大量的教育文档、幻化的 CVSS 严重性评分、详细的帮助菜单，以及大型语言模型训练数据特有的简洁、结构化的格式风格。这些都不是人类编写攻击工具时会包含的内容。目标漏洞本身是一个语义逻辑错误--开发人员在验证流程中硬编码了一个信任假设，造成了与 2FA 执行逻辑的矛盾，传统的安全扫描仪忽略了这一点，但人工智能显然是通过读取开发人员的意图而不是机械地分析代码发现了这一点。报告称，攻击者既没有使用谷歌自己的双子座模型，也没有使用 Anthropic 的 Mythos。

为什么几乎成功，为什么没有成功

攻击者策划了一场大规模利用活动，利用人工智能生成的漏洞大规模攻击开源工具。GTIG 的主动反发现似乎在这一计划取得进展之前就已将其拦截。漏洞实施过程中的错误也很可能起到了干扰作用。"The Register 在报道中指出："对其他人来说，尴尬的一点是，这似乎仍是笨拙的早期阶段。这次的执行错误挽救了很多潜在受害者。这种情况可能不会持续。GTIG 首席分析师约翰-赫尔奎斯特（John Hultquist一针见血地指出"有一种误解认为人工智能漏洞竞赛迫在眉睫。实际上，这场竞赛已经开始了。每一个我们可以追溯到人工智能的零日漏洞，可能还有更多。

该漏洞的核心是语义逻辑缺陷，这表明它比一次性事件更令人担忧。传统的扫描程序是为检测汇、崩溃和内存损坏而构建的。它们不会按照开发人员编写代码的方式读取代码。而 LLM 可以。它们可以将意图与实现关联起来，发现设计与执行之间的矛盾，并发现在当前使用的所有自动化工具看来功能正确的休眠逻辑错误。GTIG 将此描述为一种日益增强的能力，而传统的安全工具在结构上并不具备应对这种能力的能力。

GTIG 报告中的更广阔图景

零日案例是该报告所记录的更大模式的一部分。朝鲜组织 APT45 一直在向人工智能模型发送成千上万的重复提示，以递归方式分析漏洞并建立漏洞利用库，其规模之大是人工智能无法做到的。一个名为 UNC2814 的与中国有关联的行为者利用专家角色越狱提示推动 Gemini 研究 TP-Link 路由器固件中的认证前远程代码执行漏洞。俄罗斯组织一直在使用人工智能生成的音频拼接到合法的新闻片段中，用于影响行动。除此之外，GTIG 还记录了Android 后门。利用 Gemini API 调用自主导航受感染设备的后门，以及专门为混淆分析而添加人工智能生成代码的恶意软件系列。

2026 年 3 月，犯罪集团 TeamPCP 通过中毒 PyPI 软件包和恶意拉取请求嵌入凭证窃取程序，入侵了广泛使用的人工智能网关库 LiteLLM。被盗的 AWS 密钥和 GitHub 标记通过勒索软件合作关系进行货币化。这次攻击的目标是人工智能系统的集成层，而不是模型本身，GTIG 表示这种模式正在成为标准。前沿模型很难被直接攻破。而它们周围的连接器、封装器和 API 层则不然。

攻击者不仅将人工智能武器化。它还被用作一种诱惑。Notebookcheck 报道了一个 假冒克劳德人工智能网站上周通过谷歌赞助商搜索结果推送 Beagle Windows 后门，使用木马安装程序部署远程访问工具，目标是搜索克劳德代码工具的开发人员。