2026年5月11日,Google威胁情报组(GTIG)公开披露了一起具有里程碑意义的网络安全事件:攻击者利用AI工具开发了一个针对开源管理平台的零日漏洞,专门用于绕过双因素认证(2FA),意图发动大规模入侵行动。Google在攻击正式发动前悄悄介入,与未具名供应商合作完成了漏洞修补。
这是全球首个被公开确认的"AI开发零日漏洞"实战案例。AI竞赛的战场,从模型排行榜悄然蔓延到了地下网络攻击链。
一、一个零日漏洞是如何被AI"写出来"的
根据Google披露的技术细节,攻击者使用的漏洞利用脚本具有明显的LLM生成特征:包含教育性文档字符串(educational docstrings)、教科书式的代码结构、甚至包含幻觉式的CVSS评分——这些特征让安全研究人员迅速判断,这段代码并非人类手写,而是由AI辅助生成乃至主导编写的。
漏洞本身的原理并不复杂,但极其危险:攻击目标是一个广泛部署的开源Web管理平台,在其双因素认证流程中,开发者出于便利考虑硬编码了一个"信任例外"。AI在分析该平台的代码库后,精准定位了这个逻辑后门,并自动生成了完整的利用脚本。
这个过程以往需要经验丰富的安全研究员花费数天乃至数周,现在AI可以在极短时间内完成——而且可以同时处理数千个代码库的并行扫描。
二、Google是如何发现的
Google威胁情报组(GTIG)在常态化的威胁狩猎过程中,捕获到了这批异常流量和漏洞利用脚本的痕迹。关键判断依据正是上述"AI生成特征"——人类攻击者通常不会在漏洞利用代码中写入教育性注释,也不会给出明显幻觉的CVSS评分。
Google并未公开该开源平台的具体名称,但确认在攻击活动正式启动前,已与供应商完成协同修补。整个拦截行动在"无声"中完成,这也意味着:地下攻击者利用AI开发零日漏洞的进程,远比大多数安全团队预期的更超前。
Google威胁情报组首席分析师John Hultquist的表态更为直接:"有人认为AI辅助漏洞发现是未来的问题,这种观念已经落后了。AI漏洞竞赛即将开始——现实是,它已经开始了。"
三、这不是孤例:国家级APT已开始用AI
Google的这份报告同时披露了更广泛的威胁态势:
朝鲜APT45:已开始使用AI批量处理数千个漏洞检查,并自动扩充攻击工具包。AI在此处的角色是"攻击规模放大器"。
中国国家级运营商:正在进行AI系统实验,用于自动化漏洞猎取和目标探测,显著降低了大规模扫描的技术门槛。
俄罗斯影响力操作:将AI生成的伪造音频植入合法新闻片段,用于信息操纵。AI正在从"漏洞发现"向"内容武器化"全链条渗透。
值得注意的是,Google明确确认:本次零日漏洞的开发过程,既未使用Gemini,也未使用Anthropic的Mythos。这意味着,攻击者使用的是其他可用的人工智能工具——开源模型、境外商业API,或者本地部署的LLM。攻击者的工具选择比防守方想象的更加分散。
四、AI安全攻防:防守者的反制
攻击者在用AI,防守者同样在用AI——而且动作更快。
OpenAI在同日发布了"Daybreak"安全AI计划,专注于主动漏洞检测与自动修复,基于3月发布的Codex安全代理构建。其功能包括为组织特定代码库构建威胁模型,并自动识别高优先级安全风险。这与Claude Mythos形成正面竞争——安全AI赛道,正在成为继大模型、Agent之后的第三条主战场。
更深层的变局在于:传统漏洞挖掘依赖专家经验和个人直觉,门槛极高。AI的介入正在将这场游戏变为"算力+数据"的对抗。攻击方可以用AI并行扫描数千个目标,防守方同样可以用AI并行审计数千个代码库。区别只在于:攻击者只需要成功一次,防守者不能失败任何一次。
五、启示:AI军备竞赛的下一半
这个零日漏洞事件,折射出几个值得整个行业深思的信号:
第一,AI的"双用途"属性正在从抽象讨论变为具体威胁。同一项技术,既可以用来审计代码安全性,也可以用来挖掘漏洞。技术中立的神话,在AI的规模化能力面前正在加速破灭。
第二,网络攻击的"平民化"进程将被AI大幅加速。过去需要高水平安全研究员才能完成的漏洞挖掘,现在可能只需要一个会用提示词的攻击者。攻击门槛的急剧下降,意味着防守方需要重新评估威胁模型的基准假设。
第三,AI安全将成为独立的研究方向和产业赛道。从OpenAI的Daybreak到Anthropic的Mythos,从Google的GTIG到越来越多的安全AI创业公司,一个全新的细分领域正在成形。
Google拦截的这起AI零日漏洞攻击,可能只是冰山一角。John Hultquist的判断是准确的:这并非"即将到来的未来",而是"已经发生的现在"。
对于AI行业而言,这意味着模型能力的竞赛之外,安全治理的紧迫性正在以月为单位加速。一个能写漏洞的AI,和一个能修漏洞的AI,哪一方跑得更快,将决定下一次大规模网络危机是否会被避免。
这场竞赛没有旁观者。
