AI 駭客時代來臨:Google 攔截首宗 AI 製造的「秘密武器」
一、什麼是「零日漏洞」與「雙重認證」 (2FA)?
零日漏洞(Zero-Day Exploit):是指一個軟體中存在的安全漏洞,但軟體公司和大部分人都還不知道,也因此還沒有修補方法。駭客會趁這個漏洞還沒被發現之前發動攻擊,因為防守的人根本沒有時間準備 (zero-day),所以特別危險。這類攻擊通常在黑市買賣非常值錢,破壞力也很大。
雙重認證 (2FA): 是一種額外的帳戶安全保護。當你登入帳戶時,除了輸入密碼之外,還需要再提供另一種身份證明,例如手機收到的驗證碼。這樣即使有人偷到你的密碼,也不容易直接登入你的帳戶。這次發現的攻擊程式,主要目的就是想辦法繞過這層額外的安全保護。
二、駭客入侵的機制
駭客入侵的方法其實不是利用一般常見的「程式漏洞」或「檢查過程失當」這類問題,而是利用程式設計上的「邏輯漏洞」。
這個攻擊工具本身是一個 Python 程式。它發現開發者在程式裡「預先假設某些情況一定可信」,並把這個假設直接寫死在程式中(稱為 hardcoded)。結果造成系統在執行雙重認證(2FA)時,有機會讓駭客繞過安全檢查。
簡單來說,就像大樓明明設有兩道閘,但設計者又偷偷留了一條「自己人可以直接進去」的特殊通道。駭客找到這條通道後,就能避開正常的驗證程序。
這類漏洞比較特別,因為它不是表面上的技術錯誤,而是程式邏輯上的漏洞。AI 模型特別擅長理解開發者原本的設計意圖,因此更容易發現這種隱藏很深的問題;傳統的自動偵測工具通常較難發現這種問題。
三、Google 是怎樣發現這可能是 AI 幫助駭客寫的程式呢?
他們主要是從程式碼裡一些很像 AI 生成內容的特徵看出來的:
出現了不存在的漏洞資訊
所發現的攻擊程式裡,找到 CVSS 評分制度(Common Vulnerability Scoring System)的評分,但這些分數很不合理、或根本不在這制度所規定之內。這種「編造」的情況,很像 AI 有時會產生的「幻覺」(hallucination)一樣。程式寫得太像教科書
整個攻擊程式結構非常整齊、標準,而且加了很多詳細註解,看起來很像給學生學習用的範例。這種風格與大型 AI 語言模型(LLM)的寫作風格很相似。細節過度完整,不像真正駭客習慣
程式中甚至包含很完整的格式說明,以及一些人類駭客通常不會花時間寫的細節。真正的攻擊者通常只在乎程式是否有用,不會特別把它整理得那麼漂亮。
簡單來說,Google 認為這段攻擊程式「太工整、太像教學範例,而且還帶有 AI 常見的錯誤」,因此推測它很可能是由 AI 協助生成,而不是純粹由人類駭客手寫。
四、這是第一次攻擊嗎?在何種意義上是第一次?
GTIG 確認,這是首次在真實環境中發現駭客使用 AI 來協助製作「零日漏洞攻擊程式」。
雖然過去一直有人猜測或傳聞 AI 可能被用來幫助找漏洞或寫攻擊程式,但這次是第一個被發現及證實的案例:
AI 不只是被用來研究漏洞
而是實際被用來「協助製作可運作的攻擊工具」
而且目的是進行真實的惡意攻擊
五、對網絡安全的危害及其他後果
攻擊速度變快
AI 讓駭客更容易分析系統、找出漏洞,原本需要很長時間才能完成的流程,現在可大幅縮短。
攻擊變得像工業生產一樣規模化
駭客不再只是零散的個人行動,而是開始用更「工廠式」的方式運作,例如透過代理型 AI (Agentic AI),大量取得機會發動攻擊。
惡意程式變得更聰明、更自動化
例如某些 Android 木馬程式(如 PROMPTSPY),可以利用 AI(例如 Gemini API)自己操作手機介面。
中小型企業風險上升
因為 AI 降低了攻擊成本,駭客開始「連小目標也值得攻擊」。以前可能不會被注意的小公司或個人系統,現在也可能成為攻擊對象,導致受害範圍更大。
六、可能的預防與補救措施
用 AI 來對抗 AI(防禦型 AI)
Google 已經使用一些防禦型 AI 系統,例如「Big Sleep」和「CodeMender」,來自動幫忙找出軟件漏洞,並且自動修補程式。簡單來說,就是用 AI 來提前發現問題、減少被攻擊的機會。
檢查整個軟體供應鏈的安全
公司需要仔細檢查開發流程中所有環節。
加強 AI 系統本身的安全控制
AI 服務供應商需要設計更嚴格的安全機制。
一般使用者防護機制
例如 Android 手機可以使用 Google Play Protect,它會自動掃描和阻擋已知的惡意程式,提供基本的安全保護。
七、結論
Google 的這項發現代表一個重要轉變:網路安全威脅已經進入一個新的階段。過去,AI 多半只是幫助工具,用來輔助寫程式、分析資料或提升效率;但現在,AI 已經開始被用來直接「驅動攻擊」,也就是說,它不只是幫忙,而是成為攻擊行動的一部分,甚至可以自動協助找漏洞、生成攻擊程式。
因此,現在的網路安全越來越像一場「AI 對抗 AI」的競賽:一邊是攻擊者利用 AI 提升速度與規模,另一邊是防禦者也必須使用 AI 來及早發現問題、分析異常行為並修補漏洞。
雖然攻擊者的技術正在快速進步,但防禦的一方不一定處於劣勢。關鍵在於如何更聰明地使用 AI,例如:
更快偵測系統中的異常行為
自動找出並修補漏洞
提前預測可能被攻擊的弱點
如果能做到這些,防禦機制仍然有機會保持領先。不過,這樣的安全挑戰已經不只是單一公司或個人的問題,而是整個產業的問題。需要開發者、安全研究人員、企業與平台共同合作,持續改進防護機制,同時保持高度警覺,因為攻擊手段也會隨著 AI 的進步而不斷演化。
八、禱告
慈愛的天父,萬有的創造主,我們今日來到祢面前,為著這動盪不安的數位時代向祢呼求。主啊,祢賜予人類智慧去探索科學,研發出如人工智慧(AI)般強大的科技,本是為了彰顯祢的榮耀與服務人群;然而,我們看見人的罪性使這份禮物變成了威脅,駭客利用這些工具尋索漏洞,試圖破壞社會的平安與信任 。主啊,求祢施展大能,保守這世界的和平,讓科技不成為傷害鄰舍的利刃,而是成為造福萬民的福祉 。願祢的平安超越一切數位邊界,止息仇恨與貪婪帶來的攻擊,讓受驚擾的人心在祢的懷裡得著安穩。
主耶穌,我們特別為所有的 AI 開發者與安全研究人員禱告。求祢將那屬天的智慧與正直的靈賞賜給他們,讓他們在編寫代碼、設計系統時,能如同在祢面前工作一般,充滿使命感與警覺性 。求祢開闊他們的眼界,使他們能像 Google 威脅情報小組一樣,敏銳地察覺惡意的徵兆,並在危機爆發前就預先修補漏洞 。願祢引領他們發展出強大的防禦型 AI,如同一道堅固的城牆,抵擋那些自動化的惡意程式與工業化的攻擊威脅 。
父神,求祢賜予開發者們分辨善惡的心,讓他們不因追求利益而忽視安全責任,不讓系統留下一道可供惡意進入的特殊通道 。願每一位在科技前線奮鬥的人,都能成為守望者,彼此連結、共同防禦,保護那些最弱小、最容易受害的中小企業與個人免於落入陷阱 。我們相信,雖然攻擊者的手段在演進,但祢的智慧高過人的智慧。求祢親自帶領這場「AI 對抗 AI」的競賽,讓良善最終勝過邪惡,讓光照進數位世界的每一個角落 。
我們如此禱告,是奉主耶穌基督的名求,阿們。
九、References:
Google Warns of Hackers Using AI to Create Working Zero-Day Exploit
Google discovers weaponized zero-day exploits created with AI
Google spotted an AI-developed zero-day before attackers could use it
Hackers Used AI to Develop First Known Zero-Day 2FA Bypass for Mass Exploitation