AI时代:数字安全面临前所未有挑战
先给你一个数字:6%。这意味着什么?Anthropic那款强大到不敢公开的AI模型Claude Mythos,在短短30天内挖掘出的10000个高危漏洞中,截至目前实际被修复的比例。你看得没错:1万个漏洞,已经被发现了;人类程序员辛辛苦苦进行修复,6周时间过去了,修复完成的还不到600个。剩余的9400多个呢?就那样暴露着,部署在全球几十亿台设备上,等待被恶意者所利用。你可能会疑惑:AI发现漏洞不是非常厉害吗?怎么修复漏洞如此不给力?这就对了——这才是今天我想向你揭示的真相。先简单介绍一下这个模型的背景。
AI冲击下:漏洞赏金奖励大幅缩水
点击上方「★星标」获取更多精彩,别遗漏重要资讯!#01安全专家指出,以往中等严重程度的漏洞可获1843美元,如今HackerOne仅支付297美元。#02互联网漏洞赏金计划(IBB)现已暂停,推测是为重新评估漏洞的实际价值。#03AI大幅降低了漏洞挖掘成本,报告生成也极易扩展。但验证危害、剔除重复、界定安全边界、协调披露及落实修复,仍需人工介入。✦以下为正文✦至少有一位漏洞猎人发现开源安全缺陷,并通过HackerOne积压的互联网漏洞赏金(IBB)项目提交了报告,虽最终获酬,但金额锐减。类似地,某严重漏洞
谷歌发现首例AI制造零日漏洞:安全格局剧变
当防护方借助AI挖掘漏洞,攻击者同样利用AI制造漏洞——这场博弈已迈入全新纪元。5月中旬,Google威胁情报团队(GTIG)发布报告,揭示了一个令安全界震惊的真相:他们确认发现了全球首个由AI深度参与开发的零日漏洞。该漏洞被用于一场有预谋的大规模网络攻击,攻击者借此成功入侵了多个目标系统。示意图(配图与文章内容无关)01 如何察觉的?Google安全专家在剖析某零日漏洞代码时,捕捉到了异常的“AI特征”——其代码架构、变量命名习惯及注释逻辑,与已知AI生成模式高度一致。这是首次,安全人员能直接从代码层面
谷歌发现首例AI生成的0day漏洞,安全界震动
人工智能既能强化防御,也能助力攻击——这一趋势已然显现。5月中旬,谷歌披露了一起安全事件:其威胁情报小组(GTIG)确认发现了首个由人工智能辅助开发的零日漏洞,并成功拦截了一场预谋中的大规模攻击活动。此事在网络安全领域引起高度关注。01 AI是如何发现零日漏洞的?零日漏洞指的是软件开发者尚未知晓、因而未能修复的安全缺陷。此类漏洞在黑市上价值昂贵,常被用于高级持续性威胁(APT)攻击。谷歌GTIG在报告中指出,此次发现的漏洞在开发方式上展现出「AI辅助特征」——代码结构与攻击路径选择均带有明显的AI生成痕迹
AI安全与创新双周观察
● ● ●周二清晨我看到一则新闻,内心颇为震撼。谷歌安全团队发布报告称,他们阻止了全球首起由AI发现并利用的零日漏洞攻击。朝鲜APT45和具有中方背景的黑客组织,借助AI工具大量发送重复指令,递归探测各系统安全弱点,发现漏洞后立即实施攻击。这不是演练。以往我们担忧的是"AI协助撰写钓鱼邮件",如今已演变为"AI自主寻找未修复漏洞并直接攻击"。谷歌的Veo 3已集成至Flow影音平台——哦,话题扯远了,安全议题容后再详述。先梳理几个重要时间节点:● ● ●此事的影响程度我认为许多人尚未充分认知。过去一年业界
AI 驱动零日攻击:谷歌查获首例
谷歌威胁情报团队(GTIG)近期发布通报,首度证实网络黑产已利用人工智能(AI)自主挖掘并武器化了一个零日漏洞,意图发动大规模攻势。根据谷歌披露,该漏洞潜伏于某款热门开源 Web 管理套件内,本质为双因素认证(2FA)绕过缺陷。黑客疑似借助 AI 模型完成漏洞定位及利用代码编写,并企图将其投入一场广泛的入侵行动。谷歌方面表示,已携手受影响厂商完成漏洞的披露与修复工作。本次攻击矛头直指企业界广泛部署的网页端系统管理工具。此类工具用于远程配置及管控服务器、网站与应用,涉及安全策略、员工账户及数据权限等核心机能
AI辅助黑客挖掘零日漏洞
谷歌旗下的威胁情报团队GTIG透露,他们首次发现了一起由人工智能参与编写的零日漏洞利用案例。此次攻击针对一款未命名的开源Web管理工具,目的直指绕过双因素认证(2FA)。万幸的是,该攻击在扩散前即被拦截。GTIG的判断十分直接:攻击者利用AI寻找漏洞并将其武器化的频率正在增加。他们在攻击脚本中捕捉到了三个典型特征:充斥着教学口吻的docstring(文档字符串)、由AI“幻觉”生成的CVSS评分,以及整体呈现出教科书式的Python代码风格,这与大语言模型训练数据中的风格非常相似。谷歌并未指明具体是哪款大
AI漏洞风暴:四大组织预警攻击窗口缩至小时级
过去三十载,软件安全领域秉持一个默认前提:漏洞从曝光到被武器化,往往存在数周或数月的缓冲期。这并非自然法则,而是源于过往挖掘成本高昂。组织借此进行风险评估、灰度发布、补丁分发及通知,整个安全治理体系——涵盖应急响应、补丁管理及合规审计——皆以此为基础。换言之,过往的安全博弈本质上是“双方皆慢”。然而近期,SANS Institute、Cloud Security Alliance、un[prompted] 及 OWASP GenAI Security Project 四大权威机构联手,发布了《The AI
AI安全一周速览:漏洞爆发、诈骗打击与监管动态
新闻速览CNNVD 发布 AI 漏洞通报:213 个漏洞集中爆发,超危 8 个高危 89 个国家信息安全漏洞库(CNNVD)发布了最新人工智能安全漏洞通报,统计周期内共收录 AI 相关漏洞213个,其中包含8个超危、89个高危漏洞。漏洞主要集中在AI智能体、MCP组件及大模型运行框架,常见类型包括命令注入、路径遍历等,可能导致未授权访问、权限提升等风险。OpenClaw组件的漏洞数量最多,风险尤为突出。CNNVD建议企业及时排查更新补丁,并加强权限与输入验证。国家计算机病毒应急处理中心通报:67 款移动应
智能时代的漏洞挖掘演进史
本文已获得 LeadroyaL 授权转载声明:本文不含技术干货,仅作时代变迁的记录,当作闲暇时的随笔即可,可随意浏览。2026年4月8日,Claude Mythos的问世在全球安全研究者中引发巨大震动,身处技术变革洪流之中,无人能独善其身,震撼之余内心也夹杂着些许惋惜。在撰写本文期间,我与众多安全领域专家深入探讨了这一现象,目前个人观点如下:十年的安全从业经历,我只见过两类卓越之人。一类是锲而不舍的匠人,扎根细分领域,对运行机制烂熟于心,我见证的是他们的勤奋与汗水,安全领域确实付出就有收获;另一类是天资卓
AI发现隐藏27年安全漏洞,科技巨头联手开启防御新纪元
摘要:Anthropic推出的新型号Claude Mythos在OpenBSD系统中挖掘出尘封27年的安全缺陷,同时捕获了上千个零日漏洞。面对如此强大的能力,Anthropic决定暂不公开模型,而是携手12家科技领军企业共同发起Project Glasswing计划,让防御者率先掌握这一"AI利器"。试想:有一段代码漏洞,自1998年起就潜伏在系统之中。这27年间,众多安全专家曾细致审查这段代码,自动检测工具也扫描了成千上万次,但它如同鬼魅般销声匿迹,始终未被察觉。直到人工智能横空出世。今年四月,Anth
AI仅用几周,揪出潜伏27年的系统漏洞
最令人脊背发凉的并非“AI能发现漏洞”,而是它揭露的那个隐患已在系统中沉睡了27年。OpenBSD 并非边缘软件,而是长期以安全性著称的基础设施代码。漏洞能在其中潜伏近三十年,这表明漏洞的存在与否并非关键,关键在于“何时以及被何人发现”。过去,我们的应对方式通常是:缓慢搜寻,缓慢修复。如今,答案已变为:AI正以远超人类的速度,将旧世界中那些未被发现的隐秘角落逐一照亮。这不仅仅是一条技术新闻,更是一个行业的转折点。因为变革不仅体现在“能否发现”上,更体现在发现的速度、规模以及系统性上。普通人每天都在使用软件
AI揭露人类27年未察觉的隐患:Glasswing计划预示网络安全新纪元
2026年4月7日,一个寻常的星期一。Anthropic在毫无预警的情况下,公布了一项名为Glasswing的合作计划——联合了Google、Microsoft、Apple、Amazon、NVIDIA、Cisco、CrowdStrike、JPMorgan等13家全球顶尖科技企业,承诺投入超过1亿美元的资源,目标只有一个:利用人工智能找出那些潜藏了十几年甚至几十年的系统漏洞,抢在黑客利用AI发动攻击之前,筑牢安全防线。这一切的起点,源于一个令安全界震惊的事实:Anthropic训练的AI模型,已经能够识别出