事件经过
5月11日,Google威胁情报组(GTIG)披露,其识别并破坏了一个使用AI模型开发的零日漏洞利用(针对某个未命名开源网络系统管理工具的2FA绕过)。该Python脚本显示了LLM生成的特征:教育性文档字符串、虚构的CVSS评分、结构化的Python格式、详细的帮助菜单和ANSI颜色类。该漏洞利用针对目标工具2FA逻辑中的硬编码信任假设——这是LLM擅长发现的高级语义缺陷。GTIG高度确信某个AI模型(非Google Gemini或Anthropic Claude Mythos)被武器化以促进发现和武器化。
影响分析
这是首个确认的野外AI开发零日漏洞。它将多年来的研究警告付诸实践:对手现在拥有AI辅助的漏洞发现,压缩了利用时间线。该漏洞利用针对逻辑缺陷而非内存损坏,表明前沿LLM具有足够的上下文推理能力来发现潜在的语义漏洞。Google首席威胁情报分析师John Hultquist表示:"它来了。AI驱动的漏洞和利用时代已经到来。"在勒索软件/敲诈竞赛中,犯罪行为者从AI的速度优势中获益最多。
适用范围
所有托管网络系统管理工具的企业都应假设攻击面已被压缩。曾经需要数周的补丁时间线现在面临数小时到数天的威胁窗口。CISO应该:(1)假设对手将使用AI发现你基础设施中的零日漏洞;(2)加速补丁部署和事件响应时间线;(3)监控CISA KEV目录中AI辅助开发的零日漏洞(预计会增加);(4)扩展红队演练以包含AI辅助漏洞发现;(5)强化认证和授权控制中基于假设的逻辑。