这几天网上铺天盖地都在讨论AI写代码多牛逼、AI取代程序员什么时候到来,看得人眼花缭乱。
但有一条新闻,大部分人直接划过去了。
Google GTIG刚刚确认,全球第一个AI独立开发并实际部署的零日漏洞,已经在野外被检测到了。
这不是PPT,不是理论推演,是真真实实在互联网上跑起来的攻击代码。
很多人第一反应是:AI终于能写漏洞了。然后无感,继续刷下一条。
如果你也是这样想的,那只能说——你根本没看懂这件事有多炸裂。
一个“不会写代码”的普通人,动动嘴就能挖到零日漏洞,这件事本身就够让人毛骨悚然的了。但真正的恐怖,还远不止于此。
它找的不是内存破坏,不是缓冲区溢出。
它找的是——人类写代码时藏在骨子里的信任假设。
你想象一下这个场景:
一个程序员在开发双因素认证系统时,心里想的是“既然用户已经输入了密码,应该没什么问题了吧”。然后他顺手写下一行代码,基于这个没有经过验证的假设,让整个安全防线出现了裂缝。
这种漏洞,传统的那堆自动化工具根本看不见。fuzzer在里面打转,静态分析工具扫十遍也是零输出。只有真正理解了业务逻辑和开发者意图的人,才有可能挖出这种漏洞。
以前,做到这一点需要天才黑客没日没夜地钻研几个月,拼的是脑力和经验。
现在,一个会写prompt的普通罪犯,喂进去代码,几分钟就能拿到完整可用的PoC。
微软自己都承认了,利用AI的漏洞发现已经从研究实验跨入了生产工程阶段。
有数据在这里摆着:AI驱动的恶意活动一年暴涨89%。零日漏洞在公开披露之前的利用率上升了42%。犯罪团伙的平均突破时间已经被压缩到了29分钟。
● 以前是黑客手动挖漏洞,年为单位。
● 现在是AI自动挖漏洞,天为单位甚至小时为单位。
这差距大得离谱。
更让人后背发凉的是什么?是AI攻击的规模效应。
一个人类黑客再厉害,一次也只能盯着一个目标下手。但AI不一样,它可以同时扫描成百上千个系统,批量生成定制化的利用代码。传统安全防御靠的是“打补丁堵漏洞”,但现在攻击者生成漏洞的速度远快于企业修补的速度。
这个速度差,才是最致命的。
以前的网络战,是人类打人类。现在已经开始升级成AI打AI了。人类已经慢慢退到了后台,变成了旁观者。
听起来像是科幻电影里的情节,对不对?但这一切正在我们眼皮子底下真实发生。
更有意思的是,这次能拦住这个AI写的漏洞,恰恰是因为——AI写的代码太像AI了。
教科书式的写作风格,多余的教学注释,甚至编造了一个根本不存在CVSS分数写进代码里。这些痕迹就像一个稚嫩的新手,不知道怎么伪装自己。
但GTIG的首席分析师已经直言不讳了:我们看到的这个,只是犯罪分子太粗心才被抓到的。那些没在代码里留下幻觉分数的,我们根本发现不了。
这是防守方最后的“喘息窗口”,大概也就6到12个月。
一旦这些模型学会了怎么写“像人类黑客一样脏的代码”,学会了怎么抹掉自己的痕迹,检测难度会呈指数级上升。到那时候,防守就是在暗室里找一只根本不知道长什么样子的黑猫。
但这不代表我们只能坐以待毙。
万肆通从2024年3月4日到今天,累计写下了2200多篇原创文章。我们始终相信一件事:在不确定中找到确定的答案。
今天最大的确定是什么?
是AI已经改变了网络安全的游戏规则,谁也装睡不下去了。
对抗AI的攻击,不能用传统的“修补漏洞”那套打法了。你补一个,AI给你挖出十个,永远补不完。
真正的解法,得从源头上下手。
一个是
守住代码安全的第一道防线,在开发阶段就堵住语义逻辑漏洞,而不是等漏洞跑上线了再去追着AI的屁股修。
另一个是
用AI对抗AI,把防守端的AI能力和攻击端的AI速度拉到一条水平线上。谷歌自己已经在用了,他们的AI智能体在这次事件中成功在大规模利用之前就发现了威胁。
还有人可能会说,这种AI挖漏洞的能力离普通人的生活很远。
让我告诉你,有多近。
这次被AI攻破的是一个开源Web管理工具,全世界无数公司都在用。攻击者瞄准的是它的双因素认证——就是那个你觉得“有它我就安全”的最后一道防线。
如果这次谷歌没有及时拦截,后果会是什么?
无数企业的一线管控大门会被轻松推开。
所以当你下次再刷到“AI写了10万行代码碾压程序员”这类新闻时,先别急着惊叹。
不如想一想:
这些由AI生成的代码里,藏着多少个可以被AI轻松利用的信任假设?
历史的剧本已经翻开到了新的一页。坐在台上的人是AI,人类已经退到了幕布后面。这场戏怎么演下去,这次我们可能真的没法喊停了。
但至少,清醒地看完这场戏,是每一个普通人现在能做的确定的事。
夜雨聆风