AI 生成的零日漏洞与自主运行的恶意软件进入实战
谷歌 2026 年 5 月的威胁报告记录了首个由攻击者借助 AI 打造的零日漏洞,以及一款在运行时调用模型来决定下一步动作的恶意软件。
这是什么?
2026 年 5 月 11 日,谷歌威胁情报组(GTIG)发布了最新一期 AI Threat Tracker,作为其 2026 年 2 月报告的后续,依托 Mandiant 的事件响应、Gemini 的滥用遥测数据以及 GTIG 自身的研究。其中两项发现尤为突出。其一,GTIG 表示首次观察到攻击者使用 AI 同时完成零日漏洞的发现与武器化。其二,报告详细描述了一款恶意软件,其逻辑不再以静态代码的形式随附,而是在运行时调用语言模型来决定下一步动作。
报告将其形容为一种转变——“从初级的 AI 辅助行动,走向在对抗性工作流中以工业化规模应用生成式模型”。对防御方而言,有用的信号不是恐慌,而是具体性:报告清楚展示了攻击者如何把模型接入其工具链,这正指明了应关注之处。
工作原理
零日漏洞一案涉及正在筹划大规模利用行动的犯罪团伙。据 GTIG,AI 模型很可能被用于识别某个缺陷,并生成一段 Python 脚本,用于绕过一款广泛使用、基于 Web 的开源系统管理工具的双因素认证。GTIG 与厂商合作,在该行动发起前完成了漏洞披露与修复。值得注意的是,报告明确指出攻击者所用的模型既非 Gemini,也非 Anthropic 的 Mythos 级模型。
此案的价值在于取证线索。GTIG 之所以判定该漏洞利用由 AI 生成,是因为代码中的风格化痕迹:大量教学式的 docstring、教科书般整洁的 Python 结构与详尽的帮助菜单,以及最关键的一点——脚本中嵌入了一个凭空捏造的 CVSS 评分。人类漏洞开发者不会为自己的零日漏洞编造一个严重度评分;而以漏洞分析文本训练出来的模型会,因为周边文本通常就包含这类内容。
自主恶意软件一案,是 GTIG 追踪代号为 PROMPTSPY 的 Android 后门。它含有一个名为 “GeminiAutomationAgent” 的模块,运行一段带有无害人设的硬编码提示词。运行时,恶意软件通过无障碍(Accessibility)API 将设备可见界面层级序列化为类 XML 格式,经由 HTTP POST 以 JSON 模式发送给 gemini-2.5-flash-lite 模型,并收到一段结构化 JSON 响应,据此指挥其面向既定目标的后续动作。模型成为命令与控制的”大脑”,实时解读设备状态,而非执行固定脚本。GTIG 还记录了相关的规避型家族(PROMPTFLUX、HONESTCUE),它们借助模型进行动态自我修改或混淆,被归因于疑似与俄罗斯有关联的行为者。
报告同样梳理了一些辅助行为:与中国及朝鲜相关的行为者采用专家人设提示——某团伙要求模型扮演”资深安全审计员”或”C/C++ 二进制安全专家”以研究嵌入式设备目标——以及对一个被打包为编码代理技能插件的代码库进行试验,该插件汇集了逾 85,000 个真实漏洞案例的蒸馏知识库。此外还有:通过中间件与账号轮换实现对高级付费模型的混淆式访问,以及大规模生成合成媒体的亲俄影响力行动 “Operation Overload”。
为什么重要
最有价值的一句话来自 GTIG 首席分析师约翰·赫尔特奎斯特(John Hultquist):“人们误以为 AI 漏洞竞赛尚未到来。事实是它已经开始了。每一个我们能追溯到 AI 的零日漏洞背后,很可能还有更多我们尚未发现。”
对防御方而言,有两处转变值得关注。零日漏洞这一发现压缩了时间线:从”模型能提出漏洞利用思路”,跃进到”模型产出了一个可用、已武器化并纳入行动计划的漏洞利用”。自主恶意软件这一发现则打破了一项长期的检测假设:静态分析与特征签名之所以有效,部分原因在于恶意软件随身携带其逻辑。当该逻辑驻留于托管模型、在运行时以 JSON 形式送达时,磁盘上的样本更”单薄”,其行为在别处决定——并可能在两次运行之间发生变化。
这一切并不意味着 AI 创造了一类无法阻止的新型攻击。绕过 2FA 的行动在实施前即被发现并叫停,而攻击者对模型最常见的用途,仍是普通的研究与排错。要点在于方向性:AI 降低了门槛、提升了速度,于是边缘攻击者变得更有能力。
防御
报告中令人振奋的另一面是,这些能力是双向的。谷歌表示,它使用 Big Sleep 这类 AI 代理来发现漏洞,并借助 CodeMender 协助自动修复;正是其主动发现挫败了这次零日行动。防御方应把 AI 辅助的漏洞研究与补丁生成视为基本功,而非新奇玩意。
面对像 PROMPTSPY 这样在运行时进行推理的恶意软件,模型端点是必经的咽喉要道。由于该后门必须触达托管模型才能接收指令,出站流量管控至关重要:监控并限制那些本无理由发起此类连接的终端向模型 API 发出的出站连接,并把”意外使用无障碍 API + 出站 LLM 调用”这一组合视为高价值信号。其 C2 流量带有模型的形态——目标/响应的 JSON 交换——这为检测工程提供了具体的抓手。
面对 AI 生成的漏洞利用代码,“捏造 CVSS 评分”这一线索可以推而广之:由 LLM 编写的产物带有风格化残留(过度注释的 docstring、教科书式结构、伪造的元数据)。单独看是弱信号,但在分流研判中有用,值得作为检测启发式规则记录下来,而非弃之不顾。更广泛地说,应把模型提供方的滥用治理视为供应链的一环:混淆式高级访问中间件的存在,恰恰是为了击败提供方侧的管控,因此厂商上报的账号滥用信号,就是可付诸行动的威胁情报。
最后,国家级行为者采用人设提示的细节提醒我们:“专家人设”越狱仍是针对助手类模型的活跃技术;加固集成于工具的编码代理以抵御此类话术框定,与保护正当用户是同一项防御工作。
现状
这是一份描述已观察到的对手行为的威胁情报报告,而非一个带有分配编号的单一产品漏洞。该由 AI 开发的零日漏洞已按负责任披露流程处理,并在任何部署之前完成修复;GTIG 未点名受影响的管理工具。
| 项目 | 详情 |
|---|---|
| 来源 | 谷歌威胁情报组(GTIG),“GTIG AI Threat Tracker” |
| 发布 | 2026 年 5 月 11 日(延续 2026 年 2 月 GTIG 报告) |
| 核心发现 | 首次观察到攻击者使用 AI 发现并武器化零日漏洞 |
| 零日攻击目标 | 某基于 Web 的开源系统管理工具的 2FA 绕过(未点名) |
| AI 生成线索 | 教学式 docstring、教科书式 Python 结构、捏造的 CVSS 评分 |
| 自主恶意软件 | PROMPTSPY(Android)——“GeminiAutomationAgent” 模块在运行时经由 gemini-2.5-flash-lite 指挥动作 |
| 规避型家族 | PROMPTFLUX、HONESTCUE(动态自我修改,疑似与俄罗斯关联) |
| 所提及的防御工具 | Big Sleep(漏洞发现)、CodeMender(自动修复) |
两处来源均在过去 90 天之内。结论克制却真切:AI 如今在真实行动中既是武器也是攻击目标,而最持久的防御——出站流量管控、提供方滥用信号、AI 辅助修补,以及加固助手以抵御人设越狱——都是防御方早已熟悉的做法的延伸,只是要应对一个更快的对手。