谷歌首次发现黑客借助AI开发“零日”漏洞攻击工具——AI漏洞军备竞赛已正式开打

---

2026年5月11日，谷歌威胁情报小组（Google Threat Intelligence Group，GTIG）发布了一份震动安全界的报告，首次确认了一起由人工智能参与开发的零日漏洞利用事件。GTIG在报告中明确表示：“这是GTIG首次识别出威胁行为者使用我们认为由AI开发的零日漏洞利用程序。”安全业内对此评价——“AI驱动的漏洞军备竞赛已经打响。”

这并非一次停留在实验室的理论推演，而是发生在真实网络空间中的实战攻击。攻击者利用AI模型发现了一款流行开源Web管理工具中的零日漏洞，编写了Python脚本试图绕过双因素认证（2FA），并计划发起大规模利用行动，所幸被谷歌及时发现并拦截。

---

一、事件概览：从发现到拦截

据新华社报道，GTIG在5月11日发布的报告中首次确认了该起AI参与开发的零日漏洞攻击事件。

本次事件的核心要素如下：

• 攻击目标：一款未公开名称的“流行的开源、基于网页的系统管理工具”
• 攻击能力：绕过双因素认证（2FA），利用Python脚本实现
• 攻击者：谷歌将其描述为“知名的网络犯罪威胁行为者”，但未公开具体身份
• 归因依据：GTIG“高度确信”攻击者借助AI模型发现并武器化该漏洞
• 处置结果：谷歌已向受影响厂商通报漏洞，主动阻断相关威胁活动，阻止了大规模利用

---

二、攻击技术深度剖析

2.1 漏洞类型：高层语义逻辑缺陷

该漏洞源于平台2FA系统中一处“高层语义逻辑缺陷”——开发者在其身份验证逻辑中“硬编码了一个信任假设”。简而言之，系统原本应当严格校验第二因子身份凭证，但由于代码中存在隐式的信任跳跃，使得攻击者在持有有效用户名和密码的前提下，可以绕过第二因子验证。

这一漏洞类型与传统的缓冲区溢出、SQL注入等有明显区别。它并非内存破坏或输入校验缺失，而属于业务逻辑层面的设计缺陷。正因如此，传统基于模糊测试（Fuzzing）和静态分析的安全工具对此类漏洞的检出率较低。GTIG指出：“虽然模糊测试器和静态分析工具已针对检测崩溃和危险函数调用进行了优化，但前沿的大语言模型（LLM）擅长识别这类高层逻辑缺陷和硬编码的静态异常。”

2.2 “AI指纹”：攻击脚本中的四大证据

GTIG研究人员在被拦截的Python漏洞利用脚本中，发现了多处指向AI生成的“指纹”特征：

证据一：大量教学口吻的docstring文档字符串。 恶意脚本中充斥着带有详细解释和教学性质的注释，例如逐行说明代码意图、解释函数用法等。在真实的APT攻击或网络犯罪场景中，攻击者为避免暴露行踪，通常不会在攻击载荷中留下详细的说明性文字。这种“过度注释”恰恰是大型语言模型在代码生成任务中的典型表现——LLM训练数据中包含大量教材和教程语料，因此生成代码时习惯性附带详细注释。

证据二：一个“幻觉”出来的CVSS评分。 脚本中赫然包含一个根本不存在的CVSS（通用漏洞评分系统）评分。这是AI生成代码中最具标志性的特征——LLM在缺乏真实数据时会**“编造”**看似专业的内容，这一现象在LLM领域被称为“幻觉”。真实攻击者显然不会对漏洞进行虚假打分，这几乎可以确定存在AI参与。

证据三：教科书式的结构化Python编码风格。 包括标准格式的帮助菜单、规范的ANSI颜色类定义等，整体呈现出高度规整的**“教科书级”Python风格**。这与典型恶意脚本的代码风格有着根本区别——真实黑客编写的攻击工具通常追求功能实现而忽略代码规范，极少出现如此工整的格式。

证据四：结构化注释与函数文档的完整性。 脚本整体呈现出高度的结构化特征，包括详细的帮助菜单、完整的参数说明和返回类型文档，这与LLM训练数据中常见的编码教程风格高度一致。

以上四类证据的叠加，使GTIG以“高度确信”定级了本次AI参与判定。目前尚不清楚攻击者具体使用了哪一款大模型，但谷歌已明确排除了自身Gemini模型被使用的可能。

---

三、AI如何改变攻击者？攻击策略全景解析

3.1 攻击门槛的结构性下降

GTIG在报告中指出，AI技术“一方面可用于开展漏洞防御研究，另一方面也降低了网络攻击者逆向分析应用程序、开发复杂漏洞攻击程序的门槛”。这一判断得到了安全业界的广泛认同。

GTIG首席分析师John Hultquist强调：“AI驱动的漏洞军备竞赛已经打响。威胁行为者正在多个战线利用AI提升攻击的速度、规模和复杂度，国家支持的APT组织和网络犯罪团体对AI的使用都不应被低估。”

3.2 角色驱动越狱：诱导AI“扮演”安全专家

谷歌报告特别披露，攻击者正系统性使用“角色驱动越狱”手段——通过设定提示词，让AI伪装成安全专家、资深代码审计师等角色，以规避模型内置的安全限制，诱导其挖掘漏洞和生成攻击代码。

3.3 OpenClaw框架：精炼攻击载荷的“武器试验场”

报告进一步揭示，攻击者正将大量漏洞数据库输入AI模型，并借助OpenClaw等AI智能体框架，在受控环境中精炼AI生成的攻击载荷，以提高部署前的可靠性。

3.4 国家背景APT组织的全面介入

除本次网络犯罪团伙外，GTIG报告揭示多个国家级APT组织正积极利用AI进行漏洞挖掘：

• 朝鲜APT45：向AI发送数千条重复提示，递归分析CVE漏洞并批量验证PoC利用代码，构建大规模攻击武器库
• 中国关联组织：部署Strix、Hexstrike等智能体工具，对日本某科技公司进行持续自主漏洞扫描
• 俄罗斯关联行为者：利用AI生成诱饵代码，对CANFAIL和LONGSTREAM等恶意软件进行混淆变体

GTIG同时警告，威胁行为者正通过自动化账号创建、代理中继等基础设施，以**“工业化”**方式获取高级AI模型的访问权限，绕过模型使用限制，将大模型大规模用于恶意目的。

---

四、行业影响：2025到2026的三级跳——从白帽到黑帽的全面渗透

4.1 首例并非“孤立事件”，而是趋势链上的加速节点

尽管本次事件是AI辅助零日攻击的首个确证实战案例，但AI在漏洞挖掘领域的进攻性应用早有先兆。2025年至2026年间，多个标志性事件已形成一条清晰的趋势链：

• 2025年5月：安全研究机构DarkNavy开发的多智能体架构Argusee在Linux USB协议栈中发现了高危漏洞CVE-2025-37891，影响Ubuntu、Arch Linux等主流发行版
• 2025年10月：谷歌DeepMind发布了CodeMender——一款基于AI的漏洞自动检测与修复智能体，定位为“自主防御”工具
• 2025年12月：pwn.ai的AI智能体自主发现了CVE-2025-54322（CVSS 10分满分的路由器远程代码执行漏洞），被誉为“全球首例由自治AI智能体独立发现的零日RCE漏洞”

然而，这些成果全部来自白帽安全研究。仅仅一年之后，同样的技术已经“落入了黑帽之手”。

4.2 安全AI模型的“双刃剑”困境

这一事件也引发了对专用安全AI模型的深层反思。2026年4月，Anthropic因担忧其Claude Mythos模型具备自主开发零日漏洞的能力可能被滥用，仅通过Project Glasswing向有限企业开放。2026年5月，OpenAI推出GPT-5.5-Cyber，一个专为审查过的安全团队设计的网络安全AI模型。

Acalvio CEO Ram Varadarajan精辟指出：“现代模型不再仅仅扫描代码的技术性错误。它们可以推断开发者的设计意图，发现人类遗漏的矛盾之处。这使得一类全新的漏洞变得更容易被发现——隐藏的业务逻辑缺陷、被破坏的信任假设。”

---

五、如何应对AI驱动的零日威胁

5.1 提升对语义逻辑漏洞的检测能力

本次事件最深刻的启示在于：AI模型尤其擅长发现高层语义逻辑缺陷，而这类漏洞恰是传统扫描器的盲区。防御方如果不能尽快弥补这一检测缺口，将面临不对称劣势——攻击者借助AI系统性扫描开源管理工具的信任逻辑缺陷，而防御方却缺乏对应的检测手段。

5.2 缩短漏洞响应窗口

攻击速度的倍增意味着防御方必须大幅压缩漏洞发现、修补和部署的时间窗口。GTIG的成功干预表明，主动威胁狩猎和早期预警机制至关重要。安全团队需要采用AI辅助的检测工具，实现“AI对抗AI”的对等防御能力。

5.3 加强面向互联网的管理后台防护

对普通用户和企业管理员而言，这类事件的直接含义是攻击门槛正在继续下降。建议企业务必确保管理后台不直接暴露于公网，并强制启用2FA——尽管此次攻击绕过了2FA，但该漏洞源于特定工具的逻辑缺陷，2FA本身仍然是有效的纵深防御手段。

5.4 建立AI安全治理体系

在制度层面，建议企业建立完善的AI使用监控与治理机制，加强对员工使用公共AI服务时数据输入安全的管控，建立AI生成代码的强制安全审计流程，并定期开展包括AI驱动攻击在内的新型威胁场景应急演练。

---

谷歌的这份报告，正式宣告了AI辅助零日攻击从理论走向实战。John Hultquist警告：“有一种误解认为AI漏洞竞赛即将到来。现实是，它已经开始了。对于每一个我们能追溯到AI的零日漏洞，可能还有更多我们尚未发现的。”

这起案例也告诉我们——下一个漏洞可能不需要天才黑客，只需要一个会写提示词的攻击者，加上一个聪明的模型。在这个新范式下，安全从业者的使命不仅是“以AI对抗AI”，更在于在前沿技术与安全体系的交汇处建立新的防线，让AI成为安全力量的倍增器，而非攻击者的单边优势。