谷歌已确认,攻击者利用人工智能制造了一种能够绕过双重身份验证的零日漏洞。该公司安全团队披露的这一消息,标志着有记录以来首次出现直接利用AI构建此前未知漏洞的案例之一。
AI驱动的攻击
调查人员表示,该漏洞针对某个未公开系统中的缺陷。与传统黑客手段不同,攻击者似乎利用了机器学习模型来生成代码,从而规避现有防御并欺骗双重身份验证机制。谷歌未说明哪些身份验证产品受到影响,也未透露可能有多少用户受到波及。
双重身份验证被广泛视为关键的安全层。通过要求第二步验证——通常是发送到手机或由应用生成的验证码——它旨在阻止已窃取密码的入侵者。而这一漏洞使该保护措施形同虚设。
谷歌的应对措施
该公司表示已修补该漏洞,并正在监控类似尝试。出于防范模仿攻击的考虑,谷歌未公布技术细节。谷歌内部的安全团队正在分析AI生成的代码,以了解该模型的训练方式及其使用的数据。
这一确认正值安全行业应对AI驱动威胁快速演变之际。虽然防御方多年来一直在使用机器学习,但此次事件表明,攻击者正采用同样的工具,以前所未有的速度发现并利用弱点。
未解之谜
目前尚不清楚黑客是否受国家支持,或属于犯罪组织。谷歌拒绝透露该漏洞何时被发现以及已活跃了多久。该公司也未说明是否有客户数据被盗。
此案引发了一个更广泛的问题:还有多少类似的AI生成漏洞已经存在却未被发现?眼下,安全团队只能疲于追赶这种能以机器速度进化的威胁。
