谷歌首度證實：黑客已開始用AI發動真實網絡攻擊

谷歌周一發佈報告，首次確認犯罪黑客使用AI大模型發現了一個此前未知的零日漏洞，並差點發動大規模攻擊。這件事之所以炸裂，是因為安全界擔心了好幾年的「AI自動挖洞」，終於從理論變成了現實。而在Anthropic的Mythos模型已經找到數千個零日漏洞的背景下，這可能只是冰山一角。

2025年5月12日，谷歌威脅情報組（GTIG）發了一份報告，內容只有一句話能概括，犯罪黑客用AI大模型，獨立發現了一個零日漏洞，然后寫了一個Python腳本準備搞大規模攻擊。

谷歌攔住了。

但這件事的重點根本不在於「攔沒攔住」。

重點在於，網絡安全圈喊了好幾年的那個噩夢場景，AI幫黑客自動挖漏洞，現在有了第一個實錘案例。

GTIG首席分析師John Hultquist在接受採訪時稱：

這是冰山一角。這個問題可能比我們看到的大得多，這只是我們能看到的第一個實質性證據。

這個漏洞存在於一個「廣泛使用的開源Web系統管理工具」里，可以繞過雙因素認證（2FA）。

攻擊者同時還需要拿到有效的用户名和密碼，但一旦兩個條件湊齊，就能直接進入目標的管理后臺。

谷歌沒有透露這個工具的名字，也沒有透露黑客團伙的身份，只說是「知名網絡犯罪威脅行為者」。

谷歌在發現漏洞后第一時間通知了相關軟件廠商，補丁在攻擊造成實際損害之前就已經打上。

代碼里的「AI指紋」：

怎麼判斷是大模型寫的

一個自然的追問是，谷歌憑什麼判斷這段攻擊代碼是AI寫的？

前NSA網絡安全主管Rob Joyce説：

AI寫的代碼不會自己宣佈自己是AI寫的。

這話沒錯，但谷歌的研究人員還是在這段Python腳本里找到了一系列異常特徵。

這些特徵包括，腳本中包含大量教學性質的註釋文檔（docstring），這種東西人類黑客寫攻擊工具時完全沒有理由加進去。

腳本里還出現了一個「幻覺CVSS評分」，就是AI自己編了一個漏洞嚴重性評分，現實中根本不存在這個分數。

整個代碼的格式非常「教科書式」，用了標準的Python風格，包括詳細的幫助菜單和整潔的ANSI顏色類，這些都是大模型訓練數據中的典型特徵。

Rob Joyce在提前審閲了這份報告后評價説，這是「迄今為止最接近犯罪現場指紋的東西」。

Hultquist補充説，谷歌手里還有其他能佐證「AI參與」結論的證據，但他拒絕透露具體細節。

谷歌也沒有説明黑客使用的是哪個AI模型，只表示大概率不是自家的Gemini，也大概率不是Anthropic的Claude Mythos。

這個漏洞本身也很有意思。

報告描述這是一個「高層語義邏輯缺陷」，源於開發者在2FA系統中硬編碼了一個信任假設。

這種邏輯層面的bug，傳統的自動化掃描工具很難發現，但恰恰是大模型擅長捕捉的。

大模型在理解代碼意圖和發現邏輯矛盾方面有天然優勢，這也是安全研究者最擔心的地方。

Mythos的陰影

和正在加速的AI軍備競賽

谷歌的這份報告落地的時間點，非常微妙。

就在一個月前，Anthropic宣佈了旗下的Mythos模型，然后整個安全圈就炸了。

Anthropic自己説Mythos在「每一個主流操作系統和每一個主流瀏覽器」中都發現了零日漏洞，數量以千計，其中很多漏洞存在了幾十年。

這個能力太過恐怖，以至於Anthropic決定不公開發布Mythos，只向美國和英國的少數受信任機構和公司提供訪問權限。

Anthropic還牽頭搞了一個叫「Project Glasswing」的計劃，把亞馬遜、蘋果、谷歌、微軟、摩根大通這些巨頭拉到一起，試圖在Mythos可能造成的衝擊到來之前，先把全球關鍵軟件的安全窟窿堵上。

https://www.anthropic.com/glasswing

OpenAI也沒閒着。

上周五，OpenAI宣佈推出了GPT-5.5-Cyber，一個專門面向網絡安全的模型，但同樣只向「負責保護關鍵基礎設施的防禦者」開放。

https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber/

坦率的講，谷歌這次捕獲的零日攻擊，給整個局面又加了一把火。

因為這證明了一件事，你不需要Mythos這種頂級模型，市面上已有的商業大模型就足以幫黑客發現和利用零日漏洞。

Mythos代表的是天花板，但地板已經夠高了。

Hultquist的判斷是：

有一種誤解認為AI漏洞競賽即將到來。

現實是，它已經開始了。

PromptSpy：

當惡意軟件自己學會了思考

報告中還有一個細節值得單獨拎出來説，谷歌發現了一款叫PromptSpy的Android惡意軟件，它直接調用Gemini的API來分析用户當前的手機屏幕，然后自主決定下一步該做什麼。

這玩意的能力清單讀起來讓人后背發涼。

它能自主導航Android界面，實時監控用户行為，捕獲生物識別數據來重放解鎖手勢（比如PIN碼和滑動圖案），甚至能阻止用户卸載它。

具體的做法是，PromptSpy會識別屏幕上「卸載」按鈕的座標，然后在按鈕上方覆蓋一層透明遮罩來攔截觸摸事件，讓用户以為按鈕壞了。

更關鍵的是，PromptSpy的命令控制基礎設施可以動態更新，Gemini API密鑰、VNC中繼服務器這些都能在運行時遠程切換。

開發者顯然預判了防禦方的應對手段，提前留好了退路。

谷歌已經關停了與PromptSpy相關的所有資產，Play Store上也沒有發現包含該惡意軟件的應用。

但PromptSpy代表的方向，讓AI惡意軟件擁有自主決策能力，這個趨勢纔剛剛開始。

窗口期正在關閉

所有這些發現指向同一個結論，AI正在同時強化攻防兩端的能力，但目前攻擊方的加速度更快。

Anthropic網絡政策負責人Rob Bair上周在華盛頓的AI+Expo上説，Mythos等模型的分階段發佈是爲了創造「防禦者優勢窗口」，而這個窗口的長度「以月計，不是以年計」。

美國政府也在緊急行動。

美國政府上周宣佈與谷歌、微軟和xAI（是的，沒有最強的Anthropic和OpenAI這兩家）簽署了新協議，要求在公開發布最強AI模型之前先接受政府評估。

https://www.nytimes.com/2026/05/04/technology/trump-ai-models.html

這是在延續拜登時期與Anthropic和OpenAI簽署的類似協議。

但這個公告后來又從商務部網站上消失了。

混亂的信號背后，是白宮內部對AI監管路徑的分歧。

曾任白宮科技政策顧問的Dean Ball説：

我不喜歡監管。我希望事情不被監管。

但在這個問題上，我認為我們需要監管。

長期來看，樂觀派認為AI最終會讓軟件變得更安全。

當最先進的模型可以寫出幾乎無缺陷的代碼時，整個互聯網的安全基線會大幅提升。

Hultquist自己也承認這一點：

最前沿的模型將讓我們構建出有史以來最安全的代碼。

這對網絡安全來説是絕對的勝利。

但問題在於，現在已經運行着的、由人類之手寫出的、充滿漏洞的「數萬億行代碼」，不會一夜之間消失。

加固這些存量代碼可能需要好幾年。

而在這個過渡期內，AI工具正在幫助黑客以前所未有的速度和規模挖掘這些遺留漏洞。

Ball把這個階段叫做「過渡期」，並預測在這段時間里，「世界實際上可能會變得更危險」。

對於任何運行着Web管理工具、依賴2FA作為核心安全層的組織來説，這份報告傳遞的信號很明確，AI黑客不再是明年的事，是今天的事。

漏洞補丁的響應速度，以及對AI輔助攻擊特徵的監測能力，可能很快就會成為安全團隊的核心KPI。

參考資料：

https://www.nytimes.com/2026/05/11/us/politics/google-hackers-attack-ai.html

本文來自微信公眾號「新智元」，作者：新智元，編輯：艾倫，36氪經授權發佈。