一个零日漏洞利用震撼了安全界,它利用了一个双因素认证(2FA)系统中的逻辑错误。该漏洞源于开发者硬编码的一个假设,即盲目信任验证过程。谷歌确认这是他们首次发现攻击中使用人工智能的证据,尽管他们澄清并未使用其Gemini模型。
技术缺陷:代码中错误放置的信任 🛡️
该错误源于程序员假设第二个因素万无一失,并未正确验证令牌。攻击者利用这一有缺陷的逻辑绕过了身份验证,无需拦截短信代码或应用程序。谷歌的法证分析揭示了自动化行为模式,表明人工智能被用于识别和复制验证流程,但并未用于生成内容或直接与系统交互。
人工智能 vs. 双因素认证:当机器嘲笑你的令牌时 🤖
原来,人工智能不是来抢你工作的,而是来绕过你的双因素认证的。当你满头大汗地在手机上寻找验证码时,人工智能已经推断出系统信任你而不需要再次询问。至少,我们可以安慰自己:不是Gemini黑了你,只是一个匿名的人工智能,像个好邻居一样,知道门是开着的。