夜雨聆风安全界担心了好几年的事,终于发生了。
5月12日,谷歌威胁情报团队(GTIG)发布了一份报告,确认了网络安全历史上一个里程碑式的事件:犯罪黑客利用AI大模型,成功发现了一个真实的零日漏洞,并构建了完整的攻击工具,差点发动大规模攻击。
注意,这不是演习,不是论文里的假设场景,而是真实发生的攻击。虽然谷歌在大规模利用前成功拦截,但这个信号已经足够炸裂——AI自动挖洞,从理论变成了现实。
什么是零日漏洞?为什么AI能挖出来这么可怕?
先说"零日漏洞"是什么。简单理解,就是软件厂商自己都不知道的缺陷。零日,意味着开发者发现漏洞之前还有零天的修复时间——也就是说,黑客一旦找到,厂商和用户完全处于被动挨打的状态。
这类漏洞有多值钱?根据网络安全经纪商Crowdfense的公开报价,一个iOS完整链条零日漏洞的价格可达500万至700万美元。Android零日也能卖到500万美元。为什么这么贵?因为防御方完全没有准备,攻击几乎必中。
那AI为什么能挖到零日?传统的漏洞挖掘靠安全研究员一行一行读代码、跑模糊测试(fuzzing),效率有限,而且高度依赖个人经验。但AI不一样——它可以同时分析数百万行代码的模式,识别出人类很容易忽略的逻辑漏洞,而且7×24小时不间断。
打个比方:以前找漏洞像是在沙漠里用铁锹挖金子,靠运气和经验;AI来了以后,变成了用卫星遥感+无人机扫描,效率直接升维。
谷歌报告里的关键细节
根据谷歌GTIG发布的《AI威胁追踪器》报告,这次事件有几个让人后背发凉的关键信息:
| 攻击目标 | |
| 攻击手段 | |
| 攻击规模 | |
| 拦截结果 | |
| 历史意义 |
这是首次确认。谷歌明确表示,这是首次识别出"由AI参与开发"的零日利用事件。之前的报告中,AI在攻击中的角色更多是辅助性的(比如生成钓鱼邮件),而这次,AI直接参与了漏洞发现和利用工具开发的核心环节。
AI安全的两面:Anthropic的Mythos也在挖洞
讽刺的是,就在犯罪黑客用AI挖漏洞的同时,安全厂商也在用AI挖洞——只不过挖完了会报告给厂商去修补。
Anthropic的Mythos模型就是典型代表。4月7日发布的Claude Mythos Preview,在未经专项安全训练的情况下,涌现出发现数千个零日漏洞并自主编写完整利用链的能力,覆盖所有主流操作系统及浏览器。谷歌自己的漏洞赏金项目也在大量使用AI辅助工具。
这就形成了一个赛跑:白帽用AI找漏洞修漏洞,黑帽用AI找漏洞利用漏洞。谁跑得更快,决定了未来网络安全的天平倾向哪一边。
目前看,白帽暂时还有优势——毕竟AI安全工具的成熟度和资源投入远超地下黑产。但谷歌这次报告传递了一个明确的警告:差距正在缩小。
更大的背景:AI正在重塑攻防格局
这次事件不是孤立的。最近一系列数据都在指向同一个趋势:
AI已成裁员主因。美国就业咨询公司Challenger, Gray & Christmas最新报告显示,2026年4月美国共有83,387人被裁,其中26%(约21,490人)的裁员明确归因于AI替代。这是AI连续第二个月成为裁员的首要原因。年初至今,AI相关裁员已达49,135人。
零日漏洞数量持续攀升。根据谷歌GTIG的数据,2025年全球确认被在野利用的零日漏洞达90个,较2024年的78个增长约15%,AI辅助挖掘是重要推动因素。虽然大部分是白帽发现,但也意味着攻击面在急剧扩大。
我们该怎么办?
说实话,作为一个普通用户,你做不了太多来阻止AI被用来挖零日漏洞。但有几件事值得做:
第一,别觉得2FA就万无一失了。这次事件最让人不安的就是2FA被绕过。双因素认证仍然是必须开启的,但它不是万能的。硬件安全密钥(比如YubiKey)是目前最安全的2FA方式,比短信验证码强得多。
第二,及时更新软件。零日漏洞之所以可怕,是因为没有补丁。但一旦补丁发布,它就变成了已知漏洞,攻击难度大幅上升。养成及时更新的习惯,能帮你挡住90%以上的攻击。
第三,关注AI安全动态。这不是危言耸听——AI安全正在成为每个人都该关心的话题。你不需要懂技术细节,但至少要知道风险在哪儿。
写在最后
谷歌这份报告的标题很克制,但内容很震撼。它确认了一件事:AI已经不再只是帮黑客写钓鱼邮件的工具,而是可以直接参与发现零日漏洞和开发攻击武器了。
潘多拉魔盒已经打开。我们不能假装它没开。
好消息是,AI同样可以被用来发现和修复漏洞。坏消息是,攻防之间的时间差正在缩短——从漏洞被发现到被利用,窗口越来越小。
未来网络安全的本质,很可能是AI和AI之间的对抗。谁的AI更快、更聪明,谁就能占上风。而作为普通用户,我们唯一能做的,就是别让自己成为这场军备竞赛里最慢的那个。
✨ AI魔法公社 · AI资讯 | 技术教程 | 前沿动态
觉得有用?点个「在看」 👋 有想法?评论区见 💬
