AI-Developed 2FA Exploit
网络安全研究人员发现,一名此前身份不明的威胁行为者利用了一个零日漏洞,据信该漏洞是在人工智能的辅助下开发的。这是首次有记录地将人工智能应用于现实世界的恶意攻击行动中,用于漏洞发现和漏洞利用程序的生成。
调查人员认为此次攻击活动是由多个网络犯罪团伙协同发起的,这些团伙似乎合作实施了一项大规模漏洞利用计划。对相关攻击链的分析显示,一个嵌入在Python脚本中的零日漏洞能够绕过广泛使用的开源Web系统管理平台中的双因素身份验证(2FA)保护机制。
尽管没有直接证据表明谷歌的Gemini人工智能工具与此次行动有关,但研究人员高度确信,人工智能模型在发现和利用该漏洞方面发挥了重要作用。Python代码展现出大型语言模型(LLM)生成输出的多种典型特征,包括高度结构化的格式、详尽的文档字符串、详细的帮助菜单以及清晰的ANSI颜色实现。该脚本还包含一个伪造的CVSS评分,这是人工智能产生幻觉的常见例子。
目录
双因素认证绕过漏洞的工作原理
已发现的漏洞需要合法的用户凭证才能正常运行。研究人员确定,该缺陷源于应用程序身份验证过程中硬编码的信任假设所导致的语义逻辑弱点。此类高层次逻辑缺陷已逐渐纳入现代LLM系统的分析能力范围。
安全专家警告称,人工智能正在显著加速网络攻击生命周期的各个阶段,从漏洞发现到攻击验证和部署。攻击者越来越多地利用人工智能,这减少了识别弱点和发起攻击所需的时间和精力,给防御者带来了越来越大的压力。
人工智能扩大了恶意软件和漏洞利用的范围。
人工智能不再局限于辅助漏洞研究。威胁行为者现在利用人工智能构建多态恶意软件、自动化恶意操作并隐藏攻击功能。一个显著的例子是 PromptSpy,这是一种安卓恶意软件,它利用 Gemini 分析屏幕活动并发出指令,使其能够固定在最近使用的应用列表中。
研究人员还记录了几起涉及 Gemini 协助的恶意活动的高调案例:
据称,与中国有关联的网络间谍组织 UNC2814 利用角色扮演式越狱提示,迫使 Gemini 扮演网络安全专家的角色。其目的是支持针对嵌入式设备(包括 TP-Link 固件和 Odette 文件传输协议 (OFTP) 实现)的漏洞研究。
据称,朝鲜威胁组织 APT45 发布了数千条递归提示信息,旨在分析 CVE 并验证概念验证漏洞利用。
据报道,中国黑客组织 APT27 利用 Gemini 加速开发了一款车队管理应用程序,该应用程序可能旨在管理运行中继盒 (ORB) 基础设施。
与俄罗斯有关的入侵行动针对乌克兰组织,部署了名为 CANFAIL 和 LONGSTREAM 的人工智能辅助恶意软件家族,这两个家族都采用了 LLM 生成的诱饵代码来伪装恶意行为。
武器化训练数据和自主人工智能操作
此外,攻击者还被发现正在尝试使用一个名为“wooyun-legacy”的专用GitHub代码库,该代码库被设计为Claude代码技能插件。该代码库包含5000多个真实漏洞案例,这些案例最初由中国漏洞披露平台WooYun在2010年至2016年间收集。
通过将此数据集输入人工智能系统,攻击者可以启用上下文学习,训练模型以媲美经验丰富的安全研究人员的精度进行源代码分析。这显著提高了人工智能识别标准模型可能忽略的细微逻辑缺陷的能力。
研究人员还发现,疑似与中国有关联的威胁行为者在攻击一家日本科技公司和一家东亚大型网络安全平台时,部署了 Hexstrike AI 和 Strix 等智能人工智能工具。据报道,这些工具能够以最小的人工干预实现自动化侦察和发现行动。
攻击性人工智能日益增长的安全隐患
研究结果凸显了网络威胁形势的重大转变。人工智能正迅速从一种生产力工具演变为网络攻击行动的倍增器。从发现零日漏洞到自动化恶意软件部署,再到增强行动隐蔽性,人工智能正在从根本上改变网络攻击的策划和执行方式。
随着人工智能驱动的网络安全能力不断成熟,各组织将面临一个攻击速度更快、适应性更强、且在造成损害之前越来越难以检测到的未来。
