Google确认全球首个AI生成零日漏洞:攻击者用大模型写出2FA绕过漏洞利用代码
2026年5月11日,Google威胁情报组(GTIG)披露了全球首个确认由AI辅助生成的零日漏洞利用代码——一个针对开源Web管理工具的2FA绕过漏洞。AI生成的代码留下了教学性注释、幻觉CVSS评分和独特的代码风格指纹,标志着AI武器化从理论走向实战。
里程碑事件:AI不再是旁观者
2026年5月11日,Google威胁情报组(GTIG)发布了一份AI威胁追踪报告,披露了一个划时代的发现:一个犯罪威胁行为者正在准备的大规模利用攻击中,使用了由AI模型辅助开发的零日漏洞利用代码。这是全球首次有权威情报机构确认AI生成的漏洞利用代码被用于实际攻击准备。
这个零日漏洞是一个二因素认证(2FA)绕过漏洞,存在于一个"流行的开源Web系统管理工具"中。Google没有公布受影响工具的名称、CVE编号或威胁行为者的身份。漏洞已被负责任披露并修补。Google表示其"主动反发现"行动在大规模利用攻击开始前中断了该攻击活动。
Google威胁情报组首席分析师John Hultquist表示:"AI漏洞竞赛不再是即将到来——它已经开始。"这一声明标志着安全行业对AI威胁的认知从"潜在风险"正式升级为"现实威胁"。
AI代码的法医学指纹:GTIG如何判定
在没有攻击者的提示词或模型日志的情况下,GTIG必须从漏洞利用代码本身做出判断。四个法医学标记脱颖而出:
# 特征1: 教学性文档字符串
def bypass_2fa(target_url, session_token):
"""
Bypasses 2FA by exploiting timing vulnerability.
Args:
target_url: The base URL of the target
session_token: Valid session from first factor
Returns:
bool: True if bypass successful
"""
# 真实恶意代码不会包含这样的教学注释
# 特征2: 幻觉CVSS评分
# 代码引用了CVSS评分,但作为零日不存在官方评分
VULN_CVSS = 8.7 # AI"发明"的评分
# 特征3: 教科书级Python风格
# 代码过于"干净",遵循PEP 8所有建议
# 真实攻击代码通常更混乱
# 特征4: 虚构的_C ANSI颜色类
class _C:
"""ANSI color codes for terminal output."""
RED = '\033[91m'
GREEN = '\033[92m'
RESET = '\033[0m'
# LLM常见的样板代码
特征1:教学性文档字符串。代码中充满了LLM为"教学"代码生成的解释性注释。真实恶意软件作者会剥离注释;这份代码读起来像教程。
特征2:幻觉CVSS评分。代码引用了该漏洞的CVSS严重性评分——但这是一个零日漏洞,不存在官方CVSS评分。AI本质上编造了一个看起来合理的数字。
特征3:教科书级Python风格。代码过于"干净",遵循Python最佳实践,包含类型提示和规范的错误处理。真实攻击代码通常更加混乱。
特征4:虚构的_C ANSI颜色类。代码中定义了终端输出颜色的_C类,这是LLM生成Python脚本时经常加入的样板代码。
AI辅助攻击的更广泛图景
这次发现并非孤立事件。GTIG的报告追踪了2026年上半年AI在攻击活动中的使用情况,识别出多个已知使用AI工具的恶意软件家族:
| 恶意软件家族 | AI用途 | 威胁等级 | 首次发现 |
|---|---|---|---|
| PROMPTSPY | AI辅助侦察和目标画像 | High | 2026-02 |
| CANFAIL | AI生成的漏洞利用代码 | Critical | 2026-04 |
| LONGSTREAM | AI辅助持久化和C2通信 | Medium | 2026-03 |
| PROMPTFLUX | AI驱动的自变异恶意代码 | High | 2026-05 |
PROMPTFLUX尤其值得关注:这是一种能够调用LLM API实时重写自身代码的恶意软件。它在被安全产品检测到后,可以自动生成变体代码来逃避签名检测。这种"AI对抗AI"的模式代表了恶意软件进化的下一个阶段。
Google的Gemini模型被排除在可能被使用的模型之外,但Google拒绝透露具体是哪个模型被使用。这引发了关于开源LLM安全管控的深层讨论:如果攻击者使用的是开源模型(如Llama、Mistral等),没有API层面的使用限制可以阻止恶意使用。
对安全行业的深远影响
1. 漏洞发现的民主化:AI降低了发现和利用漏洞的技术门槛。过去需要数年安全研究经验才能发现的零日漏洞,现在可能被AI辅助的攻击者在数天内发现。零日漏洞的"供给"将大幅增加。
2. 恶意代码的质量提升:AI生成的代码虽然目前留下了可识别的指纹,但随着模型能力的提升,这些指纹将越来越难被检测到。
3. 防御方也用AI:Google自身的Big Sleep项目已经在使用AI进行漏洞发现。这不是AI是否参与安全攻防的问题,而是AI在攻防双方谁更高效的问题。
4. 合规和监管挑战:如果漏洞利用代码可以由AI生成,对AI模型的使用限制是否足够?开源模型没有使用限制,攻击者可以自行微调。
行业数据:AI安全威胁的量化分析
| 指标 | 2025年 | 2026年(至今) | 变化 |
|---|---|---|---|
| AI辅助攻击事件 | 12起确认 | 47起确认 | +292% |
| AI生成恶意代码样本 | ~200 | ~1,500 | +650% |
| AI安全工具市场 | $2.1B | $4.8B | +129% |
| 企业AI安全预算占比 | 3.2% | 7.8% | +144% |
防御策略:面对AI增强威胁的实战指南
# 1. 加强Web应用的2FA实现
# - 使用FIDO2/WebAuthn替代TOTP
# - 实施速率限制和账户锁定
# - 监控异常的认证模式
# 2. 部署AI辅助的威胁检测
# - 使用AI驱动的EDR/XDR解决方案
# - 训练模型检测"AI风格"的恶意代码
# - 监控网络中的LLM API调用模式
# 3. 代码审计增强
# 对第三方代码进行更严格审查
# 特别关注:
# - 带有过度文档字符串的代码
# - 引用不存在的CVE/CVSS的代码
# - 过于"干净"的代码风格
企业应立即采取的行动:
- 审查所有Web管理工具的2FA实现,优先升级到FIDO2
- 部署能够检测AI生成恶意代码的安全工具
- 建立AI威胁情报订阅机制
- 对安全团队进行AI攻击技术培训
- 制定AI安全使用政策,包括对内部AI工具的审计
数据来源与参考资料
- Google Threat Intelligence Group: AI Threat Tracker Report (May 2026)
- Google Blog: "Adversaries Leverage AI for Vulnerability Exploitation"
- John Hultquist (GTIG Chief Analyst): Statement on AI Vulnerability Race
- MITRE ATLAS: Adversarial Threat Landscape for AI Systems
- OWASP LLM Top 10 (2025/2026 Edition)
- Nerd Level Tech: Google Catches First AI-Built Zero-Day in the Wild
评论