AI首个零日漏洞：Google拦截攻击并发出全球预警

2026年5月11日，Google GTIG记录了首个AI生成的零日漏洞：犯罪团伙用AI构建2FA绕过攻击，被拦截于大规模利用之前。

2026年5月11日，Google威胁情报小组（GTIG）公开记录了有史以来第一个由人工智能协助开发的零日漏洞利用程序。这不是推测，是已记录在案的事实。一个犯罪团伙借助AI模型，针对一款流行的开源网络管理工具构建了2FA绕过漏洞，最终在大规模攻击实施前被拦截。Google与相关厂商合作，在攻击发起前完成了漏洞修补。

Google如何识别AI生成的漏洞代码

识别的关键在于代码风格。GTIG分析人员在Python漏洞利用代码中发现了三个典型特征：注释过于详尽，像是在向学生逐行解释程序逻辑；CVSS评分系数完全是AI编造的，在任何CVE数据库中都不存在对应条目；代码结构过于整齐对称，缺乏人类开发者习惯性留下的杂乱变量名和多语言注释。GTIG以高度置信度认定，AI模型同时参与了漏洞发现与武器化两个阶段。

被利用的漏洞本质上是一个语义逻辑错误：原始开发者硬编码了一个信任假设，与应用程序的认证逻辑存在矛盾。传统漏洞扫描工具会寻找内存崩溃、注入点和缓冲区溢出，根本无法发现这类逻辑层面的矛盾。LLM可以。它能像开发者一样阅读代码，将设计意图与实际实现进行比对，找出两者之间的偏差。

GTIG首席分析师John Hultquist在5月11日报告发布后明确表示：

「AI漏洞竞赛即将到来」这个判断是错误的。现实是，它已经开始了。我们每追溯到一个AI生成的零日漏洞，很可能还有更多我们尚未发现的案例。

GTIG报告揭示的更广泛威胁图景

此次零日漏洞事件只是GTIG 5月11日报告中记录的更大威胁生态的一部分。该报告涵盖了国家级行为者与犯罪组织并行运作的AI辅助攻击活动。

朝鲜军事黑客组织APT45向AI模型发送大量重复提示。以递归方式分析CVE漏洞并自动验证概念验证代码，在无AI支撑下根本无法实现的工业化规模漏洞库正在快速形成。与中国有关联的UNC2814则使用「专家人格」越狱技术，诱导Gemini搜索TP-Link固件和OFTP协议中的远程代码执行漏洞。同属中国背景的APT27借助Gemini开发了一款流量路由应用，将攻击流量隐藏在住宅IP地址之中，形成极难溯源的掩护体系。

在犯罪领域，俄罗斯组织部署了CANFAIL和LONGSTREAM两个恶意软件家族，两者均大量填充了AI生成代码，目的是干扰安全研究人员的分析工作。据ESET报告，PromptSpy这款Android后门直接调用Gemini API，能够自主浏览受感染设备、实时解析屏幕内容并独立决定下一步操作，无需攻击者远程遥控。

AI辅助攻击时间线 2026

⚠️

GTIG AI威胁追踪器，2026年5月

AI辅助攻击时间线 2026

2026年2月

PromptSpy Android后门

Gemini API直接嵌入恶意软件，实现自主屏幕导航和实时指令生成。

2026年3月下旬

TeamPCP入侵LiteLLM

SANDCLOCK凭据窃取器通过投毒PyPI包注入。AWS密钥、GitHub令牌被盗，后通过勒索软件合作变现。

2026年4月7日

Anthropic暂停Claude Mythos发布

发布推迟。该模型在测试环境中于主流操作系统和浏览器中发现了大量严重漏洞。Glasswing项目随即启动。

2026年5月11日，首个确认案例

首个AI生成零日漏洞被识别

犯罪团伙利用AI构建2FA绕过漏洞。GTIG在大规模利用前成功检测。厂商已完成修补。所用AI模型：非Gemini，非Mythos。

持续进行中，APT45、APT27、UNC2814

国家级行为者：工业化规模的AI攻击

朝鲜：数千条自动化CVE提示。中国：专家人格Gemini越狱技术。俄罗斯：AI填充恶意软件以规避分析。

来源：Google GTIG AI威胁追踪器，2026年5月11日

SpazioCrypto Research

黑客如何利用AI开发漏洞利用程序？

GTIG记录的攻击流程分为三个阶段。第一阶段，攻击者向模型提供目标系统的源代码或公开文档，要求其识别逻辑层面的攻击面，而非仅限于缓冲区溢出、注入等传统漏洞类型。

LLM能够像开发者一样阅读代码：理解设计意图，将意图与实现进行比对，找出两者之间的偏差。第二阶段，模型生成结构清晰、注释完整、可直接运行的Python概念验证代码，与人类开发者的版本相比，唯一区别在于注释过于详尽且CVSS评分系数完全是编造的。

第三阶段，攻击者在受控环境中测试概念验证代码，有时借助OpenClaw等代理工具自动完成验证，随后准备最终攻击载荷。整个过程以小时计，而非以周计。朝鲜APT45组织正是采用这条流水线：数千条并行提示自动分析CVE并验证概念验证代码，运营成本大幅降低，攻击规模持续扩大。

LiteLLM、加密钱包与多数人尚未意识到的供应链风险

LiteLLM是连接软件应用程序与AI模型服务商的核心库。如果你使用的AI代理涉及交易所管理、钱包操作、投资组合监控或任何与加密货币API交互的系统，LiteLLM很可能就处于调用链的中间环节。

TeamPCP于2026年3月通过投毒PyPI包入侵了LiteLLM。SANDCLOCK凭据窃取器直接从构建环境中提取了AWS密钥和GitHub令牌。据GTIG报告，凡是在自身系统中集成了受感染版本LiteLLM的开发者，都面临交易所API密钥、Webhook配置以及CI/CD环境中全部机密信息泄露的风险。GTIG将其定性为新兴攻击模式：前沿AI模型本身难以被直接攻破，但围绕它们运行的连接器、包装器和API层却并非如此。对于管理加密货币自主支付AI代理的开发者而言，AI依赖项供应链已经成为与钱包本身同等重要的攻击面。

国际货币基金组织（IMF）于5月7日发表声明，明确指出：AI时代的网络安全已是系统性金融稳定问题，不再只是可以交给IT部门处理的技术事务。美国国家标准与技术研究院（NIST）已完成首批后量子密码算法的标准化工作。Google内部则在使用Big Sleep和CodeMender两款工具，在攻击者发现漏洞之前实现自动化检测和修补。GTIG AI威胁追踪器下一份基于2026年第三季度数据的报告，将呈现自5月以来攻击能力轨迹的演变幅度。Hultquist表示，他预计这份数据将从根本上改变业界的讨论走向。这场较量，远比所有人预想的更早开始了。

由

Francesco Campisi

更新日期 May 12, 2026