我们来了！第一个由人工智能开发的已知零日漏洞刚刚被谷歌发现。

有人使用大语言模型（LLM）发现了一个开源管理工具中的缺陷。然后让模型编写了一个绕过两步验证的Python脚本。接着开始在真实目标上使用它。
我们怎么知道这是AI？到处都是干净的文档字符串。模型实际上虚构的CVSS严重性评分。没人会在凌晨3点写出如此整洁的Python代码来寻找漏洞。
这个漏洞本身是一个逻辑缺陷，是某个开发者多年前硬编码的信任假设。这是LLMs擅长捕捉的那种错误。
多年来的问题一直是“AI能否帮助攻击者？”充满了犹豫。“理论上可以。” “最终可以。” “只要有足够的支撑。”
这个辩论已经结束。
现在的问题是“漏洞存在于你的堆栈中的某个地方”到“漏洞被大规模利用”之间的时间窗口有多快。以前是几个月，现在是几天。