谷歌近日披露了一起利用人工智能技术发现其软件中未知漏洞的网络攻击事件,这一漏洞此前连谷歌开发者都未曾察觉。该攻击最终被成功阻止,但其背后的技术手段引发了业界广泛关注。
根据《纽约时报》的报道,谷歌研究人员于周一发布的报告中指出,攻击者很可能借助AI模型来发现并利用这一零日漏洞。报告未透露具体攻击者身份及攻击时间,但明确指出AI技术是此次攻击的核心驱动力。
零日漏洞指的是开发者尚未发现或修补的安全缺陷,一旦被黑客利用,开发者将处于被动防御状态,攻击者可以趁机造成严重破坏。此次漏洞存在于一个“流行的开源、基于网页的系统管理工具”中,攻击者若掌握用户的用户名和密码,便可绕过双因素认证。
鉴于双因素认证是大多数用户最后一道重要防线,而密码往往较弱或已泄露,绕过这一防护的能力可能导致灾难性后果。谷歌报告称:“犯罪威胁行为者计划发动大规模利用,但我们的主动防御可能阻止了其实施。”
谷歌研究人员表示,这是首次发现黑客利用AI开发的零日漏洞攻击实例。谷歌威胁情报组首席分析师约翰·霍尔特奎斯特向《纽约时报》表示:“这只是冰山一角,我们相信问题远比这更严重,这是我们看到的首个具体证据。”
此次事件加剧了人们对AI在网络安全领域潜在威胁的担忧,尤其是在Anthropic公司上月发布的Claude Mythos模型之后。Anthropic声称该AI系统能够在“所有主流操作系统和主流浏览器中发现零日漏洞”,其潜在破坏力巨大,因此仅限量向部分企业和政府机构开放。该模型的发布引发了政府领导人和安全专家的广泛警惕。
AI在网络安全领域的威胁主要源于其不断提升的代码编写和解析能力,已被科技和金融行业迅速采用。谷歌研究人员在黑客恶意软件中发现了大量注释(docstrings)、部分虚构文本以及“结构化、教科书式的Python格式”,这些都是大型语言模型训练数据的典型特征。
更多关于AI的资讯,请关注相关报道。
