谷歌稱已發(fā)現(xiàn)黑客利用人工智能發(fā)現(xiàn)零日漏洞的證據(jù)

來源：https://gizmodo.com/google-says-it-found-evidence-of-hackers-using-ai-to-discover-a-zero-day-vulnerability-2000757238

隨著人工智能模型的功能越來越強(qiáng)大，有些人試圖利用它們進(jìn)行犯罪也就不足為奇了。

谷歌威脅情報小組周一表示，他們首次發(fā)現(xiàn)了一個利用零日漏洞的網(wǎng)絡(luò)犯罪團(tuán)伙，該公司認(rèn)為該漏洞是在人工智能的輔助下發(fā)現(xiàn)的。零日漏洞指的是軟件或硬件中存在的重大安全缺陷，開發(fā)者對此毫不知情，因此開發(fā)者只有“零天”的時間來修復(fù)漏洞，以免攻擊者利用它。

谷歌并未指明攻擊者的具體名稱，但稱其為“知名”網(wǎng)絡(luò)犯罪集團(tuán)。據(jù)稱，該攻擊者計劃利用此漏洞發(fā)起大規(guī)模攻擊。谷歌認(rèn)為已成功阻止了該漏洞被利用。

根據(jù)GTIG 的報告，谷歌對與此次攻擊活動相關(guān)的漏洞利用程序進(jìn)行了分析，發(fā)現(xiàn)一個 Python 腳本中存在零日漏洞。該漏洞允許黑客繞過一款未具名但流行的開源 Web 系統(tǒng)管理工具的雙因素身份驗證。谷歌指出，黑客仍然需要有效的用戶憑據(jù)才能利用該漏洞。

GTIG表示，他們已與受影響的供應(yīng)商合作，披露并解決了這一安全漏洞。

報告還指出，根據(jù)漏洞利用的結(jié)構(gòu)和內(nèi)容，谷歌“高度確信”黑客很可能使用了人工智能模型來幫助發(fā)現(xiàn)和利用該漏洞。

報告指出：“例如，該腳本包含大量教育性文檔字符串，包括一個虛構(gòu)的 CVSS 分?jǐn)?shù)，并使用了結(jié)構(gòu)化的、教科書式的 Python 格式，這是 LLM 訓(xùn)練數(shù)據(jù)的一個顯著特征（例如，詳細(xì)的幫助菜單和干凈的 _C ANSI 顏色類）。”

谷歌還指出，它不認(rèn)為使用了其自家的Gemini模型。

在人們對先進(jìn)人工智能模型構(gòu)成的網(wǎng)絡(luò)安全威脅日益關(guān)注之際，尤其是在Anthropic公司有限發(fā)布其Mythos模型之后，這一消息顯得尤為重要。Anthropic公司通過一項旨在幫助特定公司、組織和政府機(jī)構(gòu)測試和加強(qiáng)網(wǎng)絡(luò)安全的項目，僅向他們提供Mythos模型。

此次有限發(fā)布引起了不小的轟動，促使特朗普政府考慮放棄與 Anthropic 的爭端，并與更多人工智能公司達(dá)成協(xié)議，允許政府在公開發(fā)布前審查其模型。

不過，并非所有人都認(rèn)為克蘇魯神話像人們所說的那樣重要。

周一，Curl 首席開發(fā)人員 Daniel Stenberg在一篇博客文章中將圍繞 Mythos 的炒作描述為“一次成功的營銷噱頭”。

斯坦伯格寫道，他參與了 Anthropic 的“Glasswing 項目”，該項目允許公司將他們的代碼提交給 Anthropic，由 Mythos 分析其安全漏洞。

開發(fā)人員最終收到Anthropic公司的一份報告，其中列出了五個“已確認(rèn)的安全漏洞”。但經(jīng)過仔細(xì)檢查后，Stenberg和他的團(tuán)隊確定其中只有一個是真實存在的、未知的安全問題。

“然而，我個人的結(jié)論只能是，迄今為止圍繞這款模型的巨大炒作主要源于營銷，”斯坦伯格寫道。“我沒有看到任何證據(jù)表明，與Mythos之前的其他工具相比，這套系統(tǒng)能夠發(fā)現(xiàn)更高或更先進(jìn)的問題。”

閱讀最新前沿科技趨勢報告，請訪問21世紀(jì)關(guān)鍵技術(shù)研究院的“未來知識庫”

未來知識庫是 “21世紀(jì)關(guān)鍵技術(shù)研究院”建 立的在線知識庫平臺，收藏的資料范圍包括人工智能、腦科學(xué)、互聯(lián)網(wǎng)、超級智能，數(shù)智大腦、能源、軍事、經(jīng)濟(jì)、人類風(fēng)險等等領(lǐng)域的前沿進(jìn)展與未來趨勢。目前擁有超過8000篇重要資料。每周更新不少于100篇世界范圍最新研究資料。 歡迎掃描二維碼或訪問https://wx.zsxq.com/group/454854145828進(jìn)入。

截止到2月28日 ”未來知識庫”精選的百部前沿科技趨勢報告

（加入未來知識庫，全部資料免費閱讀和下載）