商傳媒|責任編輯/綜合外電報導
Google 今日表示,其威脅情報小組(Google’s Threat Intelligence Group)有高度信心認為,一個網路犯罪集團已利用人工智慧(AI)工具,成功開發出過去未曾曝光的「零日漏洞(zero-day exploit)」,企圖攻擊廣泛使用的系統管理工具。
這是首次被偵測到由AI生成的零日漏洞攻擊手法。此攻擊旨在繞過軟體工具的防禦機制,以取得內部網路的存取權限,甚至可能繞過多因素驗證。所幸在駭客實際部署前,Google 即時知會了受影響的軟體開發商,使得漏洞在被利用前便已修復,有效避免了用戶受害。
Google 並未揭露涉案的特定軟體、網路犯罪集團名稱,以及用於生成漏洞的大型語言模型。不過,Google 研究人員指出,他們不認為駭客使用的是 Anthropic 公司開發的 Mythos 模型,或是 Google 自家的 Gemini 模型。
此次事件也呼應了先前業界對AI潛在風險的擔憂。 Anthropic 公司曾在今年四月表示,由於其AI模型識別和利用軟體缺陷的能力可能帶來國家安全風險,因此不打算大規模發布其新模型 Mythos。美國白宮也曾針對大型語言模型的惡意使用潛力,召開緊急會議與科技和產業領袖討論。
Google 研究人員的發現證實,這些潛在威脅已成為實際存在的風險。這顯示了網路安全領域面臨的新挑戰,台灣的科技產業,尤其是半導體與資安領域,應對此類新型態的AI驅動威脅提高警覺,加強防禦措施。
