商傳媒|責任編輯/綜合外電報導
Google 今日發出重大資安警訊,指出已發現網路犯罪集團利用人工智慧(AI)發掘並利用企業數位防禦系統中先前未知的弱點,成功執行零時差攻擊。這是首次證實有駭客運用 AI 辨識並武器化零時差漏洞的案例。
此次攻擊目標是一個常見的開源網頁系統管理工具,駭客透過 AI 模型偵測到一個軟體漏洞,能繞過雙重認證機制。Google 旗下的 Google Threat Intelligence Group(GTIG)透過程式碼中的異常特徵,例如程式碼中過多的註釋文件、教科書式版面配置,以及 AI 常見的「幻覺」式常見漏洞評分系統(CVSS)分數,判斷這次攻擊是由 AI 模型支援。
Google 威脅情報部門首席分析師 John Hultquist 表示:「AI 驅動的漏洞偵測與攻擊時代已經來臨。我們相信這只是冰山一角,這個問題可能比想像中更嚴重。」他指出,過去發掘零時差漏洞需耗費大量人力與時間,因此極為稀有且在黑市上價值超過一百萬美元。AI 的介入大幅加速了這個過程,讓駭客能更快地識別、驗證並武器化軟體缺陷。
此趨勢已引起產業界高度關注。資安公司 WatchTowr 的威脅情報主管 Ryan Dewhurst 坦言,漏洞發現與武器化的速度正在加快,防禦者已無法迴避這種「加速的時間線」。他強調,防禦者沒有選擇退出的餘地。
Google 也點名了數個利用 AI 進行惡意活動的案例。例如,一款名為 PromptSpy 的 Android 惡意軟體會濫用 Gemini API 來分析受害者手機螢幕,並透過自主代理模組操控 Android 介面,甚至能捕捉生物辨識資料以重播認證手勢。此外,據 GTIG 報告,與中國相關的 UNC2814 組織曾利用 Gemini 模型扮演網路安全專家,研究嵌入式裝置漏洞;北韓的 APT45(亦稱拉撒路集團)則大量利用 AI 分析通用漏洞披露(CVE)並驗證概念性驗證攻擊。
科技公司也正在採取行動應對此威脅。Anthropic 於去年十月曾發布名為 Mythos 的 AI 模型,該公司稱其在駭客與網路安全工作上「能力驚人」,能識別數千個零時差漏洞。為此,Anthropic 發起「Project Glasswing」計畫,集合科技巨頭與企業共同防範潛在風險。OpenAI 也推出專為關鍵基礎設施防禦者設計的專用網路安全版 ChatGPT。
資安專家們預期,在全球軟體普遍強化安全防護之前,未來將有一段「過渡時期」,網路安全風險會顯著升高。美國基金會 Foundation for American Innovation 資深研究員 Dean Ball 認為,AI 程式碼編寫能力雖然長期有助於提升系統安全性,但若 AI 漏洞利用工具被濫用,世界的危險性可能提高。
