AI-Developed 2FA Exploit
網路安全研究人員發現,一名先前身份不明的威脅行為者利用了一個零日漏洞,據信該漏洞是在人工智慧的輔助下開發的。這是首次有記錄地將人工智慧應用於現實世界的惡意攻擊行動中,用於漏洞發現和漏洞利用程式的生成。
調查人員認為這次攻擊活動是由多個網路犯罪集團協同發起的,這些團體似乎合作實施了一項大規模漏洞利用計畫。相關攻擊鏈的分析顯示,一個嵌入在Python腳本中的零日漏洞能夠繞過廣泛使用的開源Web系統管理平台中的雙重認證(2FA)保護機制。
儘管沒有直接證據表明Google的Gemini人工智慧工具與此行動有關,但研究人員高度確信,人工智慧模型在發現和利用該漏洞方面發揮了重要作用。 Python程式碼展現出大型語言模型(LLM)產生輸出的多種典型特徵,包括高度結構化的格式、詳盡的文件字串、詳細的幫助選單以及清晰的ANSI顏色實現。該腳本還包含一個偽造的CVSS評分,這是人工智慧產生幻覺的常見例子。
目錄
雙重認證繞過漏洞的工作原理
已發現的漏洞需要合法的使用者憑證才能正常運作。研究人員確定,該缺陷源於應用程式身份驗證過程中硬編碼的信任假設所導致的語義邏輯弱點。此類高層次邏輯缺陷已逐漸納入現代LLM系統的分析能力範圍。
安全專家警告稱,人工智慧正在顯著加速網路攻擊生命週期的各個階段,從漏洞發現到攻擊驗證和部署。攻擊者越來越多地利用人工智慧,這減少了識別弱點和發動攻擊所需的時間和精力,給防禦者帶來了越來越大的壓力。
人工智慧擴大了惡意軟體和漏洞利用的範圍。
人工智慧不再局限於輔助漏洞研究。威脅行為者現在利用人工智慧建立多態惡意軟體、自動化惡意操作並隱藏攻擊功能。一個顯著的例子是 PromptSpy,這是一種安卓惡意軟體,它利用 Gemini 分析螢幕活動並發出指令,使其能夠固定在最近使用的應用程式清單中。
研究人員還記錄了幾起涉及 Gemini 協助的惡意活動的高調案例:
據稱,與中國有關聯的網路間諜組織 UNC2814 利用角色扮演式越獄提示,迫使 Gemini 扮演網路安全專家的角色。其目的是支援針對嵌入式裝置(包括 TP-Link 韌體和 Odette 檔案傳輸協定 (OFTP) 實作)的漏洞研究。
據稱,北韓威脅組織 APT45 發布了數千條遞歸提示訊息,旨在分析 CVE 並驗證概念驗證漏洞。
據報道,中國駭客組織 APT27 利用 Gemini 加速開發了一款車隊管理應用程序,該應用程式可能旨在管理運行中繼盒 (ORB) 基礎設施。
與俄羅斯有關的入侵行動針對烏克蘭組織,部署了名為 CANFAIL 和 LONGSTREAM 的人工智慧輔助惡意軟體家族,這兩個家族都採用了 LLM 生成的誘餌代碼來偽裝惡意行為。
武器化訓練資料與自主人工智慧操作
此外,攻擊者還被發現正在嘗試使用一個名為「wooyun-legacy」的專用GitHub程式碼庫,該程式碼庫被設計為Claude程式碼技能外掛程式。該程式碼庫包含5000多個真實漏洞案例,這些案例最初由中國漏洞揭露平台WooYun在2010年至2016年間收集。
透過將此資料集輸入人工智慧系統,攻擊者可以啟用上下文學習,訓練模型以媲美經驗豐富的安全研究人員的精確度進行原始碼分析。這顯著提高了人工智慧識別標準模型可能忽略的細微邏輯缺陷的能力。
研究人員還發現,疑似與中國有關的威脅行為者在攻擊一家日本科技公司和一家東亞大型網路安全平台時,部署了 Hexstrike AI 和 Strix 等智慧人工智慧工具。據報道,這些工具能夠以最小的人工幹預實現自動化偵察和發現行動。
攻擊性人工智慧日益增長的安全隱患
研究結果凸顯了網路威脅情勢的重大轉變。人工智慧正迅速從一種生產力工具演變為網路攻擊行動的倍增器。從發現零時差漏洞到自動化惡意軟體部署,再到增強行動隱蔽性,人工智慧正在從根本上改變網路攻擊的策劃和執行方式。
隨著人工智慧驅動的網路安全能力不斷成熟,各組織將面臨一個攻擊速度更快、適應性更強、且在造成損害之前越來越難以檢測到的未來。
