技术说明
Google威胁情报组(GTIG)披露了已知的首个网络犯罪分子使用AI发现并武器化此前未知零日漏洞的案例。多个"知名网络犯罪威胁行为者"合作识别出一个Python脚本中的漏洞,该漏洞可绕过流行开源系统的双因素认证(2FA)。这些组织随后使用AI辅助代码将该缺陷武器化。该漏洞在生产环境利用之前被阻止,Google已向供应商披露。
攻击途径
该攻击针对软件登录逻辑中的隐藏信任假设,利用AI推理微妙行为弱点的能力,而传统安全工具往往无法检测到这些弱点。攻击链:(1) AI识别认证绕过,(2) AI生成武器化利用代码,(3) 攻击者针对生产系统部署。
受影响系统
未具名的流行开源系统(基于Python脚本)。此外,Google识别出:(1) APT45(朝鲜军方组织)使用AI测试和验证数千个利用载荷,(2) 名为'PromptSpy'的恶意软件使用Gemini自主导航Android设备并实时生成控制命令。
缓解措施
即时:假设威胁行为者现在可以从AI模型近实时生成零日利用(Google估计从补丁披露到可工作利用约30分钟)。组织必须:(1) 采用AI辅助漏洞发现(通过Daybreak、Mythos或同等工具)在攻击者之前发现缺陷,(2) 在可行情况下将披露窗口从90天减少到30天,(3) 实施持续补丁和不可变基础设施以减少利用后驻留时间,(4) 假设2FA绕过现在是商品化攻击路径并添加额外认证因素(FIDO2、硬件令牌)。