谷歌报告：朝鲜、伊朗、中国黑客利用AI优化网络攻击

快速阅读: 谷歌威胁分析小组报告指出，朝鲜、伊朗和中国支持的黑客正利用AI工具如Gemini实施网络攻击，涵盖侦察、社会工程、恶意软件开发等阶段，降低技术门槛，增加攻击精准度和速度。微软、OpenAI及Anthropic也发布了类似警告。

谷歌威胁分析小组（GTAG）发布的新报告显示，来自朝鲜、伊朗和中国的国家支持黑客正在积极实验并优化利用人工智能（AI）工具实施网络攻击，其中就包括谷歌的Gemini模型。谷歌表示，已观察到多个与国家有关联的团体利用其大型语言模型进行侦察、社会工程、恶意软件开发，并在操作的所有阶段进行改进，从侦察和钓鱼诱饵创建到命令控制（C2）开发和数据外泄。

报告发现了新型且复杂的AI赋能攻击的证据，警告称生成式AI正在降低恶意操作的技术门槛，帮助攻击者更快、更精确地工作。该报告呼应了微软和OpenAI早先的类似警告，这些公司披露了同一组国家支持行为者的相似实验活动。

此外，Claude AI背后的公司Anthropic也发布了一份关于检测和对抗AI用于攻击的报告，其中提到朝鲜相关团体是主要的不良行为者之一。在最新的威胁情报更新中，谷歌详细描述了名为TEMP.Zagros（又称为MuddyWater）的伊朗组织如何使用Gemini生成并调试伪装成学术研究的恶意代码，最终目的是开发定制恶意软件。在此过程中，该组织无意间暴露了关键的操作细节，使谷歌能够破坏其部分基础设施。

与中国有关的行为者被发现使用Gemini来提高钓鱼诱饵的效果，对目标网络进行侦察，并研究在入侵系统内部进行横向移动的技术。在某些情况下，他们滥用Gemini探索不熟悉的环境，如云基础设施、Kubernetes和vSphere，表明他们试图扩大技术范围。

与此同时，朝鲜操作员被观察到利用AI工具加强侦察和钓鱼活动。一个以利用社会工程手段进行加密货币盗窃而闻名的朝鲜威胁组织还尝试使用Gemini编写代码，以实现加密货币的盗窃。谷歌成功缓解了这些攻击，并关闭了涉及的相关账户。

Anthropic于2025年8月发布的报告提供了支持证据，显示朝鲜特工使用其Claude模型冒充远程软件开发者寻找工作。据报道，他们使用Claude生成简历、代码样本和技术面试答案，以获得海外的自由职业合同。

虽然Anthropic的发现揭示了使用AI获取工作的欺诈行为，这可能导致更大的组织内更大规模的黑客行动，但也同意谷歌的观点，即不良行为者系统性地测试AI工具以获得额外优势。这些发现为全球网络安全社区带来了新的挑战。正如报告所显示的，AI模型和应用程序的相同功能既使其成为强大的生产力工具，也成为有力的伤害工具。随着技术的进步，攻击者将适应并使攻击更加复杂。政府和技术公司已经开始回应，所有利益相关者之间的持续合作将是前进的方向。

(以上内容均由Ai生成)