谷歌最新安全报告揭示：黑客正大规模利用AI工具辅助挖掘软件漏洞，攻防对抗进入智能化新阶段

（由多段落组成）：

近日，谷歌威胁情报团队发布了一份聚焦AI安全风险的深度分析报告，标题为《黑客如何滥用生成式AI加速漏洞挖掘》，引发全球网络安全圈高度关注。报告指出，2024年第一季度已出现首例经验证的案例：某APT组织借助大语言模型辅助代码审计与模糊测试，成功识别出一款主流企业级软件中真实存在的零日漏洞（0-day）。值得庆幸的是，该漏洞在被用于实际攻击前，已被谷歌安全团队通过威胁狩猎机制实时捕获并协同厂商完成紧急响应，攻击链被彻底阻断。

更值得关注的是，报告中披露了一段从地下黑客论坛泄露的Python自动化脚本。该脚本针对的是广泛部署于中小企业的开源网络管理平台（如LibreNMS或Zabbix生态工具），旨在绕过其双因素认证（2FA）防护层。但安全研究人员在逆向分析时发现异常：脚本内嵌大量结构清晰、逻辑完整的中文/英文混合注释，甚至包含带CVE编号格式的“模拟漏洞描述”及看似专业的CVSS 3.1评分（如CVSS：3.1/AV：N/AC：L/PR：N/UI：N/S：C/C：H/I：H/A：H — 9.8分），而这些信息在官方漏洞库中并无对应记录。谷歌团队明确判断——整段代码及其配套文档均由AI模型生成，属于典型的“幻觉输出+恶意意图”的组合体。

这一现象揭示了AI攻防对抗的新拐点：当攻击者不再依赖纯手工逆向或经验试错，而是将LLM作为“智能协作者”参与漏洞挖掘、PoC编写、社工话术生成乃至红队演练时，攻击门槛正显著降低，攻击周期大幅压缩。对此，谷歌建议企业安全团队亟需升级防御范式——不仅要强化DevSecOps流程中的SAST/DAST自动化扫描频次，更要引入AI辅助的漏洞优先级排序机制，对高置信度AI生成的“可疑漏洞线索”建立快速验证闭环。毕竟，在AI加速的攻防赛跑中，“发现得慢”可能比“修复得慢”更具致命性。

【本文为原创安全观察，转载请联系授权并注明作者与出处】
编辑：网络安全前沿观察组

AI安全风险,零日漏洞挖掘,黑客滥用AI,2FA绕过脚本,LLM生成恶意代码

本文来源： 快科技【阅读原文】