来源:https://gizmodo.com/google-says-it-found-evidence-of-hackers-using-ai-to-discover-a-zero-day-vulnerability-2000757238
随着人工智能模型的功能越来越强大,有些人试图利用它们进行犯罪也就不足为奇了。
谷歌威胁情报小组周一表示,他们首次发现了一个利用零日漏洞的网络犯罪团伙,该公司认为该漏洞是在人工智能的辅助下发现的。零日漏洞指的是软件或硬件中存在的重大安全缺陷,开发者对此毫不知情,因此开发者只有“零天”的时间来修复漏洞,以免攻击者利用它。
谷歌并未指明攻击者的具体名称,但称其为“知名”网络犯罪集团。据称,该攻击者计划利用此漏洞发起大规模攻击。谷歌认为已成功阻止了该漏洞被利用。
根据GTIG 的报告,谷歌对与此次攻击活动相关的漏洞利用程序进行了分析,发现一个 Python 脚本中存在零日漏洞。该漏洞允许黑客绕过一款未具名但流行的开源 Web 系统管理工具的双因素身份验证。谷歌指出,黑客仍然需要有效的用户凭据才能利用该漏洞。
GTIG表示,他们已与受影响的供应商合作,披露并解决了这一安全漏洞。
报告还指出,根据漏洞利用的结构和内容,谷歌“高度确信”黑客很可能使用了人工智能模型来帮助发现和利用该漏洞。
报告指出:“例如,该脚本包含大量教育性文档字符串,包括一个虚构的 CVSS 分数,并使用了结构化的、教科书式的 Python 格式,这是 LLM 训练数据的一个显著特征(例如,详细的帮助菜单和干净的 _C ANSI 颜色类)。”
谷歌还指出,它不认为使用了其自家的Gemini模型。
在人们对先进人工智能模型构成的网络安全威胁日益关注之际,尤其是在Anthropic公司有限发布其Mythos模型之后,这一消息显得尤为重要。Anthropic公司通过一项旨在帮助特定公司、组织和政府机构测试和加强网络安全的项目,仅向他们提供Mythos模型。
此次有限发布引起了不小的轰动,促使特朗普政府考虑放弃与 Anthropic 的争端,并与更多人工智能公司达成协议,允许政府在公开发布前审查其模型。
不过,并非所有人都认为克苏鲁神话像人们所说的那样重要。
周一,Curl 首席开发人员 Daniel Stenberg在一篇博客文章中将围绕 Mythos 的炒作描述为“一次成功的营销噱头”。
斯坦伯格写道,他参与了 Anthropic 的“Glasswing 项目”,该项目允许公司将他们的代码提交给 Anthropic,由 Mythos 分析其安全漏洞。
开发人员最终收到Anthropic公司的一份报告,其中列出了五个“已确认的安全漏洞”。但经过仔细检查后,Stenberg和他的团队确定其中只有一个是真实存在的、未知的安全问题。
“然而,我个人的结论只能是,迄今为止围绕这款模型的巨大炒作主要源于营销,”斯坦伯格写道。“我没有看到任何证据表明,与Mythos之前的其他工具相比,这套系统能够发现更高或更先进的问题。”
阅读最新前沿科技趋势报告,请访问21世纪关键技术研究院的“未来知识库”
未来知识库是 “21世纪关键技术研究院”建 立的在线知识库平台,收藏的资料范围包括人工智能、脑科学、互联网、超级智能,数智大脑、能源、军事、经济、人类风险等等领域的前沿进展与未来趋势。目前拥有超过8000篇重要资料。每周更新不少于100篇世界范围最新研究资料。 欢迎扫描二维码或访问https://wx.zsxq.com/group/454854145828进入。
截止到2月28日 ”未来知识库”精选的百部前沿科技趋势报告
(加入未来知识库,全部资料免费阅读和下载)
热门跟贴