谷歌首發現 駭客利用AI產生「零日漏洞」

Alphabet Inc. 旗下Google公司的安全研究人員表示，他們認為一個網路犯罪集團利用人工智慧技術創建了一種駭客工具，該工具可以繞過一款廣泛使用的電腦系統管理工具的防禦機制。

聖荷西信使報引述彭博新聞報導，根據周一發布的一份報告，谷歌在向該工具的開發者發出警報後挫敗了這一陰謀。這將是谷歌(Google)威脅情報小組首次發現駭客以這種方式使用人工智慧產生的「零日漏洞」(zero-day)。零日漏洞是指開發者未知的缺陷，使得防禦者來不及修復，漏洞就會被利用。

谷歌表示，他們「高度確信」人工智慧被用於幫助發現和利用該漏洞。

該公司拒絕透露該網路犯罪集團、受影響的軟體或攻擊中使用的大型語言模型的名稱。不過，一位發言人表示，研究人員認為該漏洞並非使用 Anthropic PBC 的 Mythos 或Google自己的 Gemini 模型創建的。

該公司也未透露漏洞發現的具體時間，只表示是最近發現的。

Anthropic 公司在4月表示，不會廣泛發布其新模型 Mythos，因為該模型利用人工智慧識別和利用軟體缺陷的方式構成國家安全風險。此後，白宮已著手解決大型語言模型可能被惡意利用的問題，政府官員也與科技和產業領袖舉行了緊急會議。

谷歌的研究人員表示，他們的發現顯示此類威脅已經成為現實。

報告稱，該駭客組織利用人工智慧模型發現了該工具中一個先前未知的漏洞。此漏洞可用於繞過多重身分驗證（通常在密碼之外添加的安全保護措施），從而存取使用該軟體的組織的內部網路。

報導稱，Google已通知該工具的開發者，開發者在駭客利用該漏洞攻擊用戶之前修復了該問題。

企業使用基於 Web 的系統管理工具來遠端設定和管理伺服器、網站和應用程式。這包括管理安全設定、員工帳戶以及這些帳戶存取系統和資料的權限。解讀：網路攻擊為何日益增加？我們該如何應對？