谷歌一位高级安全高管警告称，首席信息安全官（CISO）必须为一个“完全不同的世界”做好准备——在这个世界中，网络犯罪分子将能够可靠、规模化地自动执行网络攻击。

谷歌安全副总裁 Heather Adkins 表示，虽然这一变化可能还需要几年时间才会真正到来，但现实情况是，攻击者已经开始使用 AI 来增强其攻击流程中的部分环节。距离完整的、端到端的自动化攻击工具包出现，已经不再遥远。

在《Google Cloud Security》播客的一次对话中，Adkins 指出，犯罪分子目前已经在使用 AI 处理一些“碎片化”的任务，例如优化钓鱼邮件的语法和拼写，或用于提升整体攻击生产效率。

“把所有这些能力整合起来，形成端到端攻击体系，只是时间问题，”她说。“我最担心的是，有人开发出一种能力，只需要向模型输入‘攻击某家公司’，模型就能在一周后返回一整套 root 级攻击方案。如果真出现这种情况，我认为在接下来的 6 到 18 个月里，会看到一个逐步加速的演变过程。”

她同时指出，防御方也在使用同样的 AI 工具、用于类似的目的，因此这种变化在初期可能不会显得那么震撼。“当然，事情也可能朝着完全不同的方向发展，但这些风险是每个人现在都应该认真思考、并提前准备应对的。我们必须为一个真正不同的网络安全环境做好准备。”

谷歌威胁情报小组近期发布的一份报告，对攻击者如何试验性地使用 AI 进行了模拟攻击。报告指出，一些恶意软件家族已经开始利用大语言模型（LLM）来生成指令，用于窃取受害者数据。

GTIG 副总裁 Sandra Joyce 补充称，美国、伊朗和朝鲜等国家背景的攻击活动，也在滥用 AI 工具来辅助攻击链的不同阶段。这些用途包括初始网络侦察、指挥与控制（C2）基础设施开发，以及前述的钓鱼内容生成和数据窃取指令编写。

谷歌内部高层的普遍担忧在于：这些目前看似零散的小功能，最终会被“串联”起来，形成类似当今漏洞利用工具包（exploit kits）的整体能力。

谷歌 CISO 办公室的安全顾问 Anton Chuvakin 表示：“在我看来，更严重的威胁并不是 APT，而是‘Metasploit 时刻’——也就是 20 年前漏洞利用框架开始被广泛获取、滥用的那个阶段。我真正担心的是威胁能力的民主化。”

以 Metasploit、Cobalt Strike 为代表的漏洞利用工具，最初都是合法的渗透测试工具，但其破解版很快流入攻击者手中，极大地降低了攻击后的操作门槛。专家们担心，AI 驱动的攻击工具包一旦被错误的人掌握，结局将高度相似。

在 Adkins 看来，最糟糕的 AI 攻击场景，可能类似于 Morris 蠕虫那样的事件——一个可自主执行的勒索软件工具包在网络中传播，对大量计算机进行加密。

“或者，它也可能更像 Conficker 蠕虫——本身并没有造成实质性破坏，但却引发了全球恐慌，促使政府撰写了成千上万页的分析报告，”她补充道。

“甚至也有可能，一个‘利他主义者’把它释放到世界上，用来自动修复一大堆漏洞。最终会发生什么，完全取决于是谁把这些组件拼在一起，以及他们的动机是什么。”

就当前而言，大语言模型在基础能力上仍然存在明显局限。从价值判断（对错区分），到更技术性的瓶颈，例如在寻找漏洞时无法及时跳出错误的推理路径，AI 在真正达到“最佳”或“最坏”状态之前，仍然需要显著进步。

然而，一旦那一天到来，攻击者可能会获得比防御者更强的先发优势。当犯罪分子能够通过提示词直接驱动 AI 去入侵某个组织，而受害方几乎没有反应时间时，防守方可能不得不重新定义“成功”的含义。

Adkins 表示，在云环境中，AI 驱动的防御机制理论上可以在检测到恶意行为时，直接关闭相关实例。但这类能力的落地必须极为谨慎，否则可能对业务稳定性造成影响。

“我们必须把这些具备智能推理能力的系统，放到实时决策链路中，在不中断业务可靠性的前提下，干扰攻击行为，”她说。“也许需要人工审批；也许是关闭一个实例、同时启动另一个实例。”

“防御并不只有简单的‘开 / 关’选项。我们必须开始认真思考实时干扰或降级能力，并运用完整的信息作战手段来改变战场环境，迷惑 AI 攻击者。尤其是因为，相比人类攻击者，它们目前在很多时候仍是在‘摸黑行动’，韧性反而可能更弱。”