1.7.3 掌握Scala函数 - 神奇占位符
2026/5/13 8:28:43
谷歌威胁情报小组(GTIG)的报告显示,“知名网络犯罪威胁行为者”正谋划利用人工智能开发的零日漏洞发动“大规模利用事件”。其目标是绕过一款未具名的“开源、基于网络的系统管理工具”的双因素认证。目前谷歌已成功“阻断”这一特定的漏洞利用。
谷歌研究人员在用于此次漏洞利用的Python脚本中发现了人工智能参与的迹象。例如存在“虚构的通用漏洞评分系统(CVSS)分数”,以及与大语言模型(LLM)训练数据一致的“结构化、教科书式”格式。该漏洞利用利用了平台双因素认证系统中“开发者硬编码信任假设”的高级语义逻辑缺陷。
谷歌报告详细介绍了黑客利用“基于角色的越狱”手段,让人工智能为他们寻找安全漏洞。比如有示例提示让人工智能假装成安全专家,黑客还向人工智能模型输入整个漏洞数据仓库,并以某种方式使用OpenClaw,这表明他们试图在可控环境下优化人工智能生成的有效载荷,以提高漏洞利用在部署前的可靠性。
编辑观点:此次事件为全行业敲响警钟,随着AI在网络攻击中的应用增加,企业需升级安全防御体系,重视AI相关安全风险,加强对系统逻辑缺陷的排查。