駭客濫用AI找出零時差漏洞，企圖發動大規模攻擊

Google威脅情報團隊（GTIG）公布網路犯罪圈濫用AI的態勢的最新調查，其中最受到關注的是，他們近日察覺有駭客組織嘗試利用AI找出的零時差漏洞，從事大規模攻擊，但因GTIG及時察覺而加以攔阻，攻擊並未成功。GTIG指出，這是首度發現有人利用AI挖掘零時差漏洞，並企圖用於實際攻擊。對此，GTIG已與受影響的廠商合作，中斷該攻擊活動並通報漏洞細節。不過，Google並未透露受影響的軟體或應用系統名稱。

在其中一個漏洞利用嘗試活動裡，GTIG看到多個惡名昭彰的駭客團體聯手策畫大規模漏洞利用活動，他們製作能利用此漏洞的Python指令碼，藉此繞過熱門開源網路系統管理工具的雙因素驗證（2FA）流程，根據漏洞的結構與內容，GTIG研判駭客顯然正在利用AI模型找出漏洞，並製作相關攻擊工具。Google究竟根據那些特徵認定駭客使用AI？他們提及，指令碼內含大量註解說明，並提供一般駭客通常不會標註、疑似捏造的CVSS風險評分，再者，這些程式碼採用結構化、教科書式的Python程式撰寫風格等，而這些都是人類駭客在撰寫程式碼不會出現的內容。

針對駭客找到的零時差漏洞，GTIG指出，主要可用於繞過雙因素驗證，不過利用漏洞的必要條件是事先取得有效的使用者憑證。此漏洞並非源自記憶體損毀，或是輸入內容清理不完整等實作錯誤，而是高階語意邏輯缺陷造成。GTIG指出，大型語言模型（LLM）擅長識別這類高層次缺陷，以及寫死（Hardcoded）程式碼出現的靜態異常，再加上現在越來越擅長情境推理，使得LLM能發現功能看似正確，但從資安角度而言，卻是具有攻擊風險的邏輯錯誤。