谷歌称黑客正滥用Gemini AI来增强攻击能力

谷歌威胁情报小组（GTIG）发现，与政府相关的高级持续性威胁（APT）组织主要使用Gemini来提高工作效率，而不是开发或实施能够绕过传统防御的新型AI网络攻击。

威胁行为者一直在尝试利用AI工具来实现攻击目的，尽管成功率不一，但这些工具至少可以缩短攻击准备时间。

谷歌已识别出与来自20多个国家的APT组织相关的Gemini活动。最常见的用例包括：协助编写工具和脚本的代码任务、研究公开披露的漏洞、检查技术（解释、翻译）、查找目标组织的详细信息，以及寻找规避检测、提升权限或在受感染网络中运行内部侦察的方法。

谷歌表示，来自伊朗、朝鲜和俄罗斯等国的APT组织都在尝试使用Gemini，探索该工具在帮助他们发现安全漏洞、规避检测和规划攻击后活动方面的潜力。以下是具体分析：

• 伊朗的威胁行为者是Gemini的最大用户，他们利用该工具进行广泛的活动，包括对国防组织和国际专家的侦察、研究已知漏洞、开发钓鱼活动以及为影响力行动创建内容。他们还使用Gemini进行与网络安全和军事技术相关的翻译和技术解释，包括无人机（UAV）和导弹防御系统。
  

• 朝鲜的APT组织使用Gemini支持攻击生命周期的多个阶段，包括研究免费托管提供商、对目标组织进行侦察，以及协助恶意软件开发和规避技术。他们的活动很大一部分集中在朝鲜的秘密IT工人计划上，使用Gemini起草工作申请、求职信和提案，以虚假身份在西方公司获得工作。

• 俄罗斯的威胁行为者对Gemini的使用较少，主要集中在脚本协助、翻译和有效载荷制作上。他们的活动包括将公开的恶意软件重写为不同的编程语言、为恶意代码添加加密功能，以及了解特定公开恶意软件的功能。有限的使用可能表明俄罗斯行为者更喜欢使用俄罗斯开发的AI模型，或者出于操作安全原因避免使用西方AI平台。

谷歌还提到，他们观察到威胁行为者试图使用公开的越狱方法攻击Gemini，或重新措辞提示以绕过平台的安全措施。据报道，这些尝试均未成功。