近期，软件开发团队和安全研究人员积极利用AI挖掘大量安全漏洞并及时修复，已成为一种趋势，旨在赶在黑客之前发现零日漏洞，提升应用程序或系统的安全性。然而，黑客也正在滥用AI技术来发现零日漏洞，并计划发动大规模攻击。

谷歌威胁情报团队（GTIG）发布了关于网络犯罪团伙滥用AI技术的最新调查报告，其中最受关注的是，他们近期发现有黑客组织试图利用AI发现的零日漏洞实施大规模攻击，但因GTIG及时发现并阻断，攻击未能得逞。GTIG指出，这是首次发现有人利用AI挖掘零日漏洞并试图用于实际攻击。对此，GTIG已与相关厂商合作，中断了该攻击活动，并通报了漏洞细节。不过，谷歌并未透露受影响的软件或系统名称。

在其中一个漏洞利用尝试活动中，GTIG发现多个臭名昭著的黑客团体联合策划了一场大规模漏洞利用行动。他们编写了能够利用该漏洞的Python脚本，用以绕过热门开源网络管理工具的双因素认证（2FA）流程。根据漏洞的结构和内容，GTIG判断黑客显然正在使用AI模型来发现漏洞，并生成相应的攻击工具。谷歌是如何认定黑客使用了AI？他们指出，这些脚本中包含大量注释说明，并提供了普通黑客通常不会标注的、疑似虚构的CVSS风险评分；此外，这些代码采用了结构化、教科书式的Python编写风格，而这些特征是人类黑客在编写代码时极少出现的。

针对黑客发现的零日漏洞，GTIG指出，该漏洞主要可用于绕过双因素认证，但利用该漏洞的前提是已获取有效的用户凭证。该漏洞并非源于内存损坏或输入过滤不完整等实现层面的错误，而是由高级语义逻辑缺陷所致。GTIG表示，大型语言模型（LLM）擅长识别这类高层级缺陷，以及代码中硬编码部分的静态异常；再加上当前LLM在情境推理能力上的显著提升，使其能够发现表面上功能正常、但从安全角度却存在攻击风险的逻辑错误。