黑客首度借助AI挖掘零日漏洞，发起大规模双因素认证绕过攻击

谷歌于本周一透露，其监测到某不明黑客组织利用零日漏洞发起袭击，并指出该漏洞极有可能是借助人工智能（AI）技术生成的。这意味着AI技术首次在恶意攻击场景中被应用于漏洞挖掘与利用代码的编写。

据悉，此次攻击行动由网络犯罪团伙发动，这些不法分子疑似协同作案，实施了被这家科技巨头定义为“大规模漏洞利用”的恶意活动。

谷歌威胁情报小组（GTIG）在一份提交给HackerNews的报告中指出：“在对此次攻击相关的利用代码进行剖析后，我们察觉到一个嵌入在Python脚本内的零日漏洞。借助该漏洞，攻击者能够成功规避某款广受欢迎的基于Web的开源系统管理工具所配备的双因素认证（2FA）机制。”

这家科技巨头强调，他们已经携手受波及的供应商，以负责任的方式完成了漏洞的披露与修复工作，从而防患于未然，遏制了其进一步扩散。不过，该公司暂未公开涉事软件的具体名称。

尽管目前尚无直接证据证实谷歌的Gemini AI被黑客当作帮凶，但GTIG极其笃定地认为，已有AI模型遭到武器化，通过一段Python脚本来加速漏洞的挖掘与武器化进程。该脚本展现出了所有大型语言模型（LLM）生成代码的典型特征。

GTIG进一步说明：“举例来说，该脚本内嵌了大量的教学型文档字符串，甚至编造了一个CVSS评分，同时采用了LLM训练数据中常见的结构化、教科书般的Python编写风格（比如，具备详尽的帮助菜单以及清晰的_C ANSI颜色类）。”

据悉，该漏洞属于双因素认证绕过类型，但触发该漏洞的前提是攻击者必须掌握合法的用户凭证。其根源在于一种高级语义逻辑错误，这种错误由硬编码的信任假设引发，而这正是LLM（大型语言模型）所擅于捕捉的盲点。

watchTowr的威胁情报负责人Ryan Dewhurst在接受《黑客新闻》采访时表示：“AI技术极大地加快了漏洞挖掘的步伐，显著降低了识别、验证及利用漏洞的人力成本。眼下的现实便是：漏洞发现、武器化与攻击的节奏正不断提速。我们并非刚刚步入时间线压缩的阶段，而是多年来一直身处其中。攻击者冷酷无情，防御方则退无可退。”

人工智能的负面效应不仅体现在加剧漏洞的曝光与滥用上，它还赋能攻击者编写多态恶意软件并实施自动化恶意操作。以PromptSpy这款Android恶意软件为例，它借助Gemini来解析当前屏幕画面，并接收指令将恶意应用强行驻留在最近使用的应用列表内。

针对该后门程序的深入调查表明，此恶意软件具备更为强悍的功能，它能够自主浏览Android用户界面，实时监控并解析用户操作，进而利用自主代理模块来敲定下一步的攻击策略。

不仅如此，PromptSpy还能窃取受害者的生物识别信息，通过重放锁屏PIN码或手势等身份验证动作，实现对被控设备的二次入侵。另外，它还内置了“AppProtectionDetector”模块来抵御卸载操作。该模块能够精准定位屏幕上“卸载”按钮的坐标，并在其上方覆盖一层隐形护盾，拦截受害者的点击，让用户误以为按键失灵。

谷歌指出：“尽管PromptSpy在初始化时依赖硬编码的默认基础设施与凭证，但该恶意软件在架构上具备极高的运行韧性，允许攻击者在运行期间动态替换核心组件，免去了重新分发PromptSpy恶意载荷的麻烦。”

“详细来讲，这款恶意软件的命令与控制（C2）基础设施，涵盖Gemini API密钥及VNC中继服务器，均能通过C2信道实现动态刷新。此种配置模式证明开发者未雨绸缪，提前规避了防御手段，确保即便特定的基础设施节点被安全人员察觉并拦截，后门依然能持久潜伏。”

谷歌宣称，目前已采取严厉手段制裁PromptSpy，封禁了所有牵涉恶意行径的资产。目前，Google Play商店内暂未查出携带该恶意代码的应用程序。此外，谷歌还察觉到了其他几起针对Gemini的滥用行为：

调查人员还发现，攻击者正试图启用一个名为“wooyun-legacy”的特定GitHub代码库。该代码库被量身打造为Claude的代码技能插件，内部收录了某国漏洞报告平台WooYun于2010年至2016年间积累的逾5000个真实漏洞案例。

谷歌阐释道：“将这些漏洞数据投喂给AI模型，能够强化其上下文学习能力，引导模型如同资深安全专家般开展代码审查，进而揪出基础模型容易忽视的逻辑漏洞。”

另有消息透露，某疑似有中国背景的攻击者动用了Hexstrike AI及Strix等智能化工具，将矛头指向一家日本科技企业及某东亚头部网络安全平台，企图在极低人工干预的前提下实施自动化漏洞探测。

谷歌同时提到，源自俄罗斯、伊朗、某国及沙特阿拉伯的信息战（IO）团伙依然在利用AI处理日常办公需求，如资料调研、文案生成与本地化翻译。与此同时，谷歌还揭露，与某国存在关联的UNC6201组织利用开源Python脚本，实现了高级LLM账号的批量自动注册与即时注销，以此开展威胁活动。

GTIG强调：“这一操作流程暴露出敌对势力正绞尽脑汁，通过五花八门的手段批量攫取高级AI算力，同时巧妙规避了账号被封禁的风险。”

如今，攻击者借助专业化中间件与自动化注册流水线，妄图获取匿名化的高级访问权限，从而非法突破使用阈值。此类基础设施为大规模服务滥用提供了温床，同时利用试用权限及程序化账号轮换来倒贴运营成本。”

谷歌通报的另一起涉华威胁活动则归咎于UNC5673（亦称TEMP.Hex）。该组织搜罗了各类公开的商业化工具及GitHub开源项目，其意图极有可能是为了推动LLM的大规模滥用。

这些调查结果与近期关于API中转平台灰色产业链日益猖獗的报道不谋而合。此类平台为某国本土开发者提供了非法访问Anthropic Claude与Gemini的渠道。这些中转或代理节点依靠部署在某国大陆境外的代理服务器来转发对AI模型的请求。相关服务甚至在某国电商平台淘宝及闲鱼上公然兜售。

在2026年3月公布的一项学术成果中，来自CISPA亥姆霍兹信息安全中心的研究人员锁定了17个“影子API”。这些API宣称能通过间接调用，提供无地域限制的官方模型服务。然而，针对这些服务的性能评测却暴露出模型被偷梁换柱的痕迹，使得AI应用陷入了难以预料的危机之中。

研究人员在论文中写道：“在诸如MedQA等高风险医疗评测基准里，Gemini-2.5闪存模型的准确度呈现断崖式下跌，从官方API接口的83.82%暴跌至所有受测影子API的37.00%左右。”

不仅如此，这些代理服务还能拦截流经其服务器的每一条提示词与反馈结果，为平台运营方开辟了窃取海量数据的后门。这些被窃取的数据后续极有可能被用于模型微调及非法的知识蒸馏。

近几个月期间，AI生态环境也沦为TeamPCP（亦称UNC6780）等黑客团伙的狩猎场，导致开发者面临供应链攻击的威胁，并让攻击者得以在被入侵的网络中更深层地潜伏，策划后续打击。

谷歌总结道：“比如，一旦威胁分子成功侵入企业机构的AI系统，便能滥用内部模型与工具，批量探测、搜集并盗取机密情报，抑或执行网络侦察，向网络深处渗透。尽管具体的访问权限层级与实际用途在很大程度上受制于企业自身及被攻陷的依赖项，但该案例足以警示我们，AI系统所面临的软件供应链安全威胁正变得愈发严峻。”