Google 確認 AI 生成的零日漏洞可繞過 2FA

多年來，網路安全業界一直警告 AI 協助的駭客攻擊即將到來，如今已成為現實。Google 的威脅情報小組（GTIG）已確認首例由人工智慧協助生成的零日漏洞利用案例，該漏洞利用廣泛使用的開源網頁管理工具中一個硬編碼的信任缺陷，繞過了雙重驗證。

2026年5月11日發表的這一發現，代表安全研究人員與威脅行為者之間貓鼠遊戲的顯著升級。對於任何依賴二次驗證作為安全保障的加密貨幣使用者而言，這是一則值得關注的警訊。

該漏洞是一個 Python 腳本，旨在透過針對一個未具名但廣泛部署的開源網頁管理工具中的邏輯缺陷，來繞過 2FA 保護。英文原文：該工具在決定信任某些驗證請求時存在弱點，而該腳本正是專門為利用此弱點而設計的。

這起案件的前所未見之處，不僅在於漏洞本身，更在於其留下的痕跡。

GTIG 研究人員在腳本中識別出多個 AI 生成代碼的明顯特徵：乾淨的 ANSI 顏色類別、有組織的教育提示、虛構的 CVSS 分數（業界標準的嚴重性評級），以及詳細的幫助菜單。這些特徵幾乎從不會出現在手動編寫的漏洞利用中。

這就像找到一套竊盜工具箱，每件工具都標有說明，並按功能用顏色分類。人類駭客通常不會花心思做這種細緻的處理。然而，大型語言模型經過訓練，即使輸出具有惡意，也會力求幫助性和條理性。

GTIG 的分析發現，該代碼結構與大型語言模型的訓練數據模式高度吻合。該團隊已排除 Google 自有的 Gemini 模型參與的可能性，意味著攻擊者使用了另一套 AI 系統來發現漏洞並開發可運行的利用程式。

這不是一項僅限於學術練習或停留在某個暗網論壇上的概念驗證。GTIG 確定，這些威脅行為者計劃進行大規模利用，意味著他們打算對運行有漏洞工具的系統大規模部署此漏洞。

Google 透過直接與供應商合作，在該活動發動前實施了修補程式。時間線顯示 GTIG 在利用週期的相對早期階段就發現了此問題，這對於此類事件而言是最理想的情況。

但事實是，這個人工智慧模型不僅用於撰寫腳本，更用於發現此前未知的漏洞，並圍繞二次驗證構建功能性的繞過方案，這標誌著攻擊性網路安全進入了新階段。高級漏洞開發的門檻已大幅降低。

過去，開發零日漏洞需要深厚的逆向工程、漏洞研究和漏洞利用開發技能，這些技能需要多年才能掌握。而 AI 模型可將大部分過程壓縮至數小時內完成，既降低了潛在攻擊者的技術門檻，也提升了資深駭客的成就上限。

此特定漏洞尚未與任何特定的加密貨幣平台相關聯。但其對加密貨幣行業的影響不容忽視。

雙重驗證是幾乎所有主要加密貨幣交易所、錢包提供商和 DeFi 平台的基本安全層。許多這些服務基於或整合了開源網頁管理工具，這正是本處針對的軟體類別。

此攻擊所利用的硬編碼信任缺陷，是一種可能出現在多種類似軟體實現中的漏洞。如果一個開源管理工具存在此問題，其他工具也很可能具有類似的邏輯弱點。

對於加密貨幣用戶而言，實際的啟示是：2FA 是必要的，但並不足夠。硬體安全金鑰、提現白名單和多重簽名錢包設置提供了額外的防護層，這些層級不會僅因 2FA 繞過而被攻破。僅依賴軟體型 2FA 作為主要防禦措施的交易所和託管機構，應根據此發現重新評估其安全架構。

更廣泛的擔憂在於加速曲線。如果 AI 現在就能生成針對網頁管理工具的可運行零日漏洞利用，那麼類似技術被應用於智能合約漏洞、瀏覽器擴展錢包或交易平台使用的 API 認證系統，也並非難以想像。加密貨幣的攻擊面已經極為龐大，而 AI 協助的漏洞生成使防禦變得難以計量地困難。

請看，網際安全的軍備競賽一直有利於行動更快的一方。這次，攻擊者首次擁有了一種能以機器速度系統性探測弱點的工具。Google 發現了這一漏洞。下一個由 AI 生成的漏洞可能不會有如此明顯的痕跡，而目標也可能沒有 GTIG 級別的團隊守護邊界。