新智元报道

编辑：艾伦

谷歌周一发布报告，首次确认犯罪黑客使用AI大模型发现了一个此前未知的零日漏洞，并差点发动大规模攻击。这件事之所以炸裂，是因为安全界担心了好几年的「AI自动挖洞」，终于从理论变成了现实。而在Anthropic的Mythos模型已经找到数千个零日漏洞的背景下，这可能只是冰山一角。

2025年5月12日，谷歌威胁情报组（GTIG）发了一份报告，内容只有一句话能概括，犯罪黑客用AI大模型，独立发现了一个零日漏洞，然后写了一个Python脚本准备搞大规模攻击。

谷歌拦住了。

但这件事的重点根本不在于「拦没拦住」。

重点在于，网络安全圈喊了好几年的那个噩梦场景，AI帮黑客自动挖漏洞，现在有了第一个实锤案例。

GTIG首席分析师John Hultquist在接受采访时称：

这是冰山一角。这个问题可能比我们看到的大得多，这只是我们能看到的第一个实质性证据。

这个漏洞存在于一个「广泛使用的开源Web系统管理工具」里，可以绕过双因素认证（2FA）。

攻击者同时还需要拿到有效的用户名和密码，但一旦两个条件凑齐，就能直接进入目标的管理后台。

谷歌没有透露这个工具的名字，也没有透露黑客团伙的身份，只说是「知名网络犯罪威胁行为者」。

谷歌在发现漏洞后第一时间通知了相关软件厂商，补丁在攻击造成实际损害之前就已经打上。

代码里的「AI指纹」：

怎么判断是大模型写的

一个自然的追问是，谷歌凭什么判断这段攻击代码是AI写的？

前NSA网络安全主管Rob Joyce说：

AI写的代码不会自己宣布自己是AI写的。

这话没错，但谷歌的研究人员还是在这段Python脚本里找到了一系列异常特征。

这些特征包括，脚本中包含大量教学性质的注释文档（docstring），这种东西人类黑客写攻击工具时完全没有理由加进去。

脚本里还出现了一个「幻觉CVSS评分」，就是AI自己编了一个漏洞严重性评分，现实中根本不存在这个分数。

整个代码的格式非常「教科书式」，用了标准的Python风格，包括详细的帮助菜单和整洁的ANSI颜色类，这些都是大模型训练数据中的典型特征。

Rob Joyce在提前审阅了这份报告后评价说，这是「迄今为止最接近犯罪现场指纹的东西」。

Hultquist补充说，谷歌手里还有其他能佐证「AI参与」结论的证据，但他拒绝透露具体细节。

谷歌也没有说明黑客使用的是哪个AI模型，只表示大概率不是自家的Gemini，也大概率不是Anthropic的Claude Mythos。

这个漏洞本身也很有意思。

报告描述这是一个「高层语义逻辑缺陷」，源于开发者在2FA系统中硬编码了一个信任假设。

这种逻辑层面的bug，传统的自动化扫描工具很难发现，但恰恰是大模型擅长捕捉的。

大模型在理解代码意图和发现逻辑矛盾方面有天然优势，这也是安全研究者最担心的地方。

Mythos的阴影

和正在加速的AI军备竞赛

谷歌的这份报告落地的时间点，非常微妙。

就在一个月前，Anthropic宣布了旗下的Mythos模型，然后整个安全圈就炸了。

Anthropic自己说Mythos在「每一个主流操作系统和每一个主流浏览器」中都发现了零日漏洞，数量以千计，其中很多漏洞存在了几十年。

这个能力太过恐怖，以至于Anthropic决定不公开发布Mythos，只向美国和英国的少数受信任机构和公司提供访问权限。

Anthropic还牵头搞了一个叫「Project Glasswing」的计划，把亚马逊、苹果、谷歌、微软、摩根大通这些巨头拉到一起，试图在Mythos可能造成的冲击到来之前，先把全球关键软件的安全窟窿堵上。

https://www.anthropic.com/glasswing

OpenAI也没闲着。

上周五，OpenAI宣布推出了GPT-5.5-Cyber，一个专门面向网络安全的模型，但同样只向「负责保护关键基础设施的防御者」开放。

https://openai.com/index/gpt-5-5-with-trusted-access-for-cyber/

坦率的讲，谷歌这次捕获的零日攻击，给整个局面又加了一把火。

因为这证明了一件事，你不需要Mythos这种顶级模型，市面上已有的商业大模型就足以帮黑客发现和利用零日漏洞。

Mythos代表的是天花板，但地板已经够高了。

Hultquist的判断是：

有一种误解认为AI漏洞竞赛即将到来。

现实是，它已经开始了。

PromptSpy：

当恶意软件自己学会了思考

报告中还有一个细节值得单独拎出来说，谷歌发现了一款叫PromptSpy的Android恶意软件，它直接调用Gemini的API来分析用户当前的手机屏幕，然后自主决定下一步该做什么。

这玩意的能力清单读起来让人后背发凉。

更关键的是，PromptSpy的命令控制基础设施可以动态更新，Gemini API密钥、VNC中继服务器这些都能在运行时远程切换。

开发者显然预判了防御方的应对手段，提前留好了退路。

谷歌已经关停了与PromptSpy相关的所有资产，Play Store上也没有发现包含该恶意软件的应用。

但PromptSpy代表的方向，让AI恶意软件拥有自主决策能力，这个趋势才刚刚开始。

窗口期正在关闭

所有这些发现指向同一个结论，AI正在同时强化攻防两端的能力，但目前攻击方的加速度更快。

Anthropic网络政策负责人Rob Bair上周在华盛顿的AI+Expo上说，Mythos等模型的分阶段发布是为了创造「防御者优势窗口」，而这个窗口的长度「以月计，不是以年计」。

美国政府也在紧急行动。

美国政府上周宣布与谷歌、微软和xAI（是的，没有最强的Anthropic和OpenAI这两家）签署了新协议，要求在公开发布最强AI模型之前先接受政府评估。

https://www.nytimes.com/2026/05/04/technology/trump-ai-models.html

这是在延续拜登时期与Anthropic和OpenAI签署的类似协议。

但这个公告后来又从商务部网站上消失了。

混乱的信号背后，是白宫内部对AI监管路径的分歧。

曾任白宫科技政策顾问的Dean Ball说：

我不喜欢监管。我希望事情不被监管。

但在这个问题上，我认为我们需要监管。

长期来看，乐观派认为AI最终会让软件变得更安全。

当最先进的模型可以写出几乎无缺陷的代码时，整个互联网的安全基线会大幅提升。

Hultquist自己也承认这一点：

最前沿的模型将让我们构建出有史以来最安全的代码。

这对网络安全来说是绝对的胜利。

但问题在于，现在已经运行着的、由人类之手写出的、充满漏洞的「数万亿行代码」，不会一夜之间消失。

加固这些存量代码可能需要好几年。

而在这个过渡期内，AI工具正在帮助黑客以前所未有的速度和规模挖掘这些遗留漏洞。

Ball把这个阶段叫做「过渡期」，并预测在这段时间里，「世界实际上可能会变得更危险」。

对于任何运行着Web管理工具、依赖2FA作为核心安全层的组织来说，这份报告传递的信号很明确，AI黑客不再是明年的事，是今天的事。

漏洞补丁的响应速度，以及对AI辅助攻击特征的监测能力，可能很快就会成为安全团队的核心KPI。

参考资料：

https://www.nytimes.com/2026/05/11/us/politics/google-hackers-attack-ai.html

秒追ASI