吳明宜Google 威脅情報小組 (Google Threat Intelligence Group, GTIG) 近日阻止一宗企圖部署 AI 生成零時差漏洞攻擊程式的行動。攻擊者試圖繞過雙因素驗證 (2FA),並鎖定一款開原網頁管理工具發動攻擊。
Google 本周公布根據 Gemini 、 GTIG 及 Mandiant 資料完成的研究成果。研究指出,攻擊者已開始利用 AI 協助開發零時差漏洞濫用程式,並嘗試繞過網頁管理平台的 2FA 驗證機制。相關攻擊程式以 Python script 撰寫,Google 未透露涉案駭客組織與遭鎖定的軟體名稱,僅表示已與該工具廠商合作,阻止可能的大規模濫用行動。
Google 表示,根據這些攻擊程式的架構與內容判斷,Gemini 本身並未遭到濫用,但研究人員認為,攻擊者已使用 AI 模型協助發現漏洞並將其武器化。例如研究中發現,有些 script 包含出現幻覺的 CVSS 評分,以及帶有明顯大型語言模型 (LLM) 訓練痕跡、結構化且偏教科書風格的 Python 程式碼。
Google 指出,中國與北韓的國家級駭客組織特別積極運用 AI 尋找漏洞。研究人員在針對日本一家科技業者與東亞一家資安公司的攻擊行動中,觀察到代理式工具如 Strix 與 Hexstrike 的使用情形。
此外,以鎖定電信與政府機構聞名的中國駭客 UNC2814,也利用 AI 假扮資深安全稽核員,研究嵌入式裝置漏洞,包括實作 OFTP(Odette File Transfer Protocol) 協定的 TP-Link 韌體漏洞。另一方面,北韓駭客 APT45 則透過大量提示分析漏洞,並驗證 PoC 攻擊程式。
Google 認為,隨著 AI 逐漸被導入攻擊流程,駭客的攻擊工具庫將持續擴大,相關行動的複雜度與規模也可能同步提高。
這份研究也涵蓋自主惡意程式行動、 AI 強化的防禦迴避、供應鏈攻擊,以及攻擊者試圖取得大型語言模型最高權限等議題。
來源:SecurityWeek