黑客的武器正从手工编写的恶意软件,逐步进化为具备自主思考能力的人工智能。美国谷歌云旗下的谷歌威胁情报组(Google Threat Intelligence Group,GTIG)于5月11日发布的最新报告揭示,网络攻击者对AI的利用已从初期的实验阶段,发展到大规模“产业化”的阶段,形势令人震惊。
报告指出,尤其是与中国和朝鲜相关的多个威胁组织,积极利用AI进行漏洞发现和漏洞利用开发。例如,有迹象显示他们让名为Gemini的AI扮演高级安全审计员和C/C++二进制安全专家,协助调查TP-Link设备固件及Odette文件传输协议的漏洞。
首次发现的案例中,AI开发出基于Python脚本的零日漏洞利用工具,能够攻击广泛使用的开源系统管理工具,绕过双因素认证(2FA)。该脚本采用了大语言模型训练数据中常见的结构化、教科书式的Python代码风格。GTIG已与受影响厂商合作,公开漏洞并阻止相关威胁活动。
此外,AI还被用于插入无效代码和无关逻辑以实现代码混淆,将AI集成到恶意软件的自主运行中,支持调查、侦察及攻击生命周期管理,甚至冒充真实记者进行信息战攻击。
与此同时,针对AI软件开发环境的攻击也在增加。恶意软件伪装成“OpenClaw”技能包传播,网络犯罪组织“TeamPCP”发动针对“GitHub Actions”等多个供应链的攻击,导致AI开发环境中的认证信息和机密数据被窃取。
GTIG建议通过利用威胁情报阻止敌对势力活动,并在必要时与执法机构合作。同时,他们也在使用AI辅助的防御工具,如主动发现未知漏洞的“Big Sleep”和自动修复关键代码漏洞的“CodeMender”,以提升防御能力。
