谷歌预警:攻击者利用AI挖掘漏洞,零日攻击已成现实
5月12日,谷歌威胁情报小组(GTIG)透露,依据现有的线索与证据,他们首次确认了一起“AI参与构建”的零日漏洞利用案例。此次攻击针对的是某款未公开的开源Web管理平台,意图在于规避双重认证(2FA),不过在大范围扩散前已被成功阻断。GTIG指出,这表明黑客正日益频繁地利用AI来搜寻并将漏洞武器化。据博文描述,GTIG分析发现,攻击脚本中充斥着类似教学风格的docstring(文档字符串),甚至包含一个凭空“幻觉”产生的CVSS评分,整体代码风格极具教科书特征,酷似大语言模型训练数据中常见的Python写
2026:AI武器化引爆网络犯罪,攻击门槛归零
2025年12月4日,大阪警方以涉嫌违反《禁止非法访问法》拘捕了一名17岁高中生。该少年利用恶意脚本,盗取了日本最大网咖连锁Kaikatsu Club逾700万名会员的个人信息。面对审讯,其犯罪动机令人匪夷所思——竟是为了集换式宝可梦卡片。乍看之下,这似乎是个陈旧的剧本。上世纪90年代起,凯文·米特尼克之类的技术天才屡见不鲜,他们技艺超群却判断力匮乏,为名利或刺激以身试法。然而此案的本质区别在于:当事人毫无专业技术功底。2025年,大语言模型(LLM)驱动的对话与智能体系统完成革命性跨越,从瑕疵明显的编程
AI普及致漏洞利用变简单,不应仅将复杂攻击归咎于国家
微软与网络安全和基础设施安全局(CISA)已就Windows Shell欺骗漏洞发出警示,该漏洞(CVE-2026-32202)目前已有黑客在使用。得益于AI技术,如今入侵门槛大幅下降,任何人都能借助AI利用该漏洞,虽然具体是谁干的尚不明确,但主要怀疑对象是俄罗斯黑客,且大家不能一遇到复杂的攻击就认为是国家级别的。CISA下令所有联邦机构必须在5月12日之前修复这个漏洞。微软的公告提到,利用这个漏洞可能会导致机密数据外泄,不过黑客暂时拿不到系统的控制权。不过,安全专家指出,从微软发现漏洞到强制修复的时间间