國家支持的間諜活動進入 AI 時代：Google 揭露 Gemini 遭廣泛濫用

在一項強調人工智能（Artificial Intelligence）雙面刃性質的里程碑式披露中，Google 威脅情報小組（Threat Intelligence Group, GTIG）發布了一份詳盡報告，詳細說明了來自中國、伊朗、北韓和俄羅斯的國家支持行動者如何系統性地利用 Gemini AI。本週發布的這份報告提供了迄今為止最細緻的證據，證明生成式 AI（Generative AI）已不再只是網絡安全中的理論風險，而是貫穿攻擊生命週期各個階段的活躍行動工具。

從精煉網絡釣魚誘餌到生成多態惡意代碼，對手正在利用大型語言模型（Large Language Models, LLMs）的能力來加速其活動。或許最令人擔憂的是，Google 強調了一種新型的高級威脅：「蒸餾攻擊」（distillation attacks），網絡罪犯試圖藉此竊取 AI 模型本身的知識產權，以構建該技術的無審查私有版本。

隨著 AI 領域在開放創新與安全管控之間產生分歧，這些啟示出現在一個關鍵時刻。在 Google 與流氓國家未經授權的使用行為作鬥爭時，美國國防部發現自己正因安全限制與 AI 領導者 Anthropic 陷入公開對峙，描繪出武器化 AI 未來的一幅複雜圖景。

「蒸餾」攻擊的興起：竊取 AI 的大腦

Google 報告中技術性最重要的發現之一，是模型提取（model extraction）或稱「蒸餾」攻擊的普遍存在。與針對用戶信息或憑據的傳統數據盜竊不同，蒸餾攻擊針對的是 AI 模型的神經架構。

Google 報告稱挫敗了一場涉及超過 100,000 個生成提示（prompts）的大規模活動，這些提示旨在探測 Gemini 的邏輯、推理和語言能力。攻擊者的目標不是破壞服務，而是複製它。通過系統地查詢模型並記錄其輸出，對手可以創建一個數據集來訓練模仿 Gemini 性能的小型「學生」模型。

為什麼蒸餾攻擊至關重要：

• 知識產權竊取： 它允許競爭對手或惡意行為者在不承擔前沿模型巨大訓練成本的情況下克隆專有技術。
• 繞過安全過濾器： 一旦攻擊者將模型的能力「蒸餾」到自己的私有系統中，他們就可以移除 Google 和 OpenAI 等公司精心實施的安全護欄（RLHF）。這導致了一個無審查的模型，能夠不受限制地編寫惡意軟件或生成仇恨言論。
• 可擴展性： Google 指出，這些攻擊具有高度的可擴展性且通常是自動化的，將合法的 API 訪問變成了高價值情報的汲取管道。

全球威脅行動者及其策略

該報告詳細描述了「無休止的攻勢」，並將特定的 AI 增強策略歸因於知名的進階持續性威脅（Advanced Persistent Threat, APT）小組。這些攻擊的多樣性說明，AI 不僅被精英黑客部隊採用，而且已在網絡間諜活動的全譜系中普及。

下表總結了 Google 識別出的關鍵行動者及其對 Gemini 的具體誤用：

北韓：招募騙局

與臭名昭著的 Lazarus 小組有關聯的北韓小組 UNC2970，已將 Gemini 集成到其長期運行的「夢想工作行動」（Operation Dream Job）中。該活動以虛擬的工作職位瞄準國防和航空航天部門的員工，以滲透安全網絡。Google 的分析顯示，UNC2970 使用 Gemini 從 LinkedIn 等平台抓取並合成開源情報（Open Source Intelligence, OSINT）。通過將個人資料輸入 AI，該小組生成了高度個性化、可信的招募材料，繞過了具有安全意識的目標的懷疑。AI 讓他們能以前所未有的速度繪製技術角色和薪資結構。

伊朗：社會工程引擎

對於像 APT42 這樣的伊朗行動者來說，有效社會工程的進入門檻歷來是語言和文化細微差別。Gemini 有效地降低了這一門檻。該小組利用該模型撰寫網絡釣魚郵件，這些郵件在語法上完美無缺，且在文化上契合以色列和美國的目標。此外，APT42 將 AI 用於入侵後的活動，例如解析盜取的數據以快速識別高價值電子郵件地址和憑據，從而縮短初次入侵後的「突破」時間。

中國：自動化網絡殺傷鏈

中國國家支持的小組表現出對技術集成的偏好。他們不僅將 AI 用於文本，還聘請 Gemini 進行代碼分析。報告強調了像 UNC4841 這樣的小組如何利用模型來建議腳本優化或識別潛在漏洞中的錯誤。這表明正向「AI 輔助黑客攻擊」轉變，人類操作員將 LLMs 作為力量倍增器，用以識別零日漏洞（zero-day vulnerabilities）或編寫規避反病毒特徵碼的多態代碼。

自動化惡意軟件與「Honestcue」威脅

除了國家間諜活動外，該報告還揭示了商業網絡犯罪領域對 AI 的採用。一個顯著的發現是「Honestcue」，這是一個明確設計用於利用 Gemini API 的惡意軟件框架。

Honestcue 作為一個下載器和啟動器運行，向 Gemini API 發送自然語言提示，並接收惡意的 C# 源代碼作為回應。由於代碼是動態生成並在內存中執行的，它創建了一個「無文件」攻擊足跡，傳統的終端檢測系統極難標記。這代表了一個重大演進：惡意軟件不再是靜態文件，而是由基於雲的 AI 即時生成的一組動態指令。

同樣，Google 識別出了「ClickFix」活動——利用 AI 生成令人信服的技術支持指令的社會工程攻擊。這些指令誘導用戶將惡意腳本複製並粘貼到自己的終端中，利用受害者對「修復指南」的信任。

防禦困境：Anthropic 對陣五角大樓

當 Google 努力將罪犯排除在其 AI 生態系統之外時，華盛頓正在就誰被允許進入之內醞釀一場不同的戰鬥。正如本週《Axios》和《華爾街日報》的報告所證實的，美國國防部（DoD）正因後者嚴格的使用政策而與 AI 供應商 Anthropic 發生衝突。

國防部長 Pete Hegseth 威脅要將 Anthropic 標記為「供應鏈風險」並切斷與該公司的聯繫。爭論的核心在於 Anthropic 的「憲法 AI」（Constitutional AI）方法，其中包括拒絕協助武器開發或致命行動。雖然這些保障措施旨在防止 Google 在伊朗和北韓看到的同類濫用，但五角大樓將其視為一種負擔。

「我們的戰士需要訪問那些能在戰場上提供決策優勢的模型，」一位國防部官員表示，並批評那些「不允許你打仗」的模型。這種緊張局勢因一項披露而加劇，據報 Anthropic 的 Claude 模型在 1 月份抓捕委內瑞拉總統馬杜羅（Nicolás Maduro）的突襲行動中通過 Palantir 被使用。這一事件凸顯了「雙重用途困境」（Dual-Use Dilemma）：原本旨在防止 AI 成為恐怖工具的保障措施，現在正被定義為國家安全的障礙。

行業的戰略影響

這兩個故事的交匯——Google 關於犯罪濫用的報告以及五角大樓與 Anthropic 的爭端——描繪了 2026 年 AI 安全格局的嚴峻圖景。

對於網絡安全專業人士來說，Google 的報告證實了複雜攻擊的「進入門檻」已經崩潰。初級黑客（Script kiddies）現在可以生成複雜的惡意軟件，非母語人士可以撰寫完美的網絡釣魚誘餌。「蒸餾」攻擊對所有企業 AI 採用者發出了警告：你的模型就是你的知識產權，且正處於活躍的圍攻之下。

對於政策制定者來說，矛盾是顯而易見的。該行業同時被要求鎖定模型以防止國家支持的濫用（Google 的挑戰），並開放模型以實現國家批准的軍事行動（Anthropic 的挑戰）。隨著像 UNC2970 和 APT42 這樣的威脅行動者繼續創新，西方平衡創新、安全和防禦能力的能力將定義下一個網絡戰爭時代。

Google 的回應是加強其防禦的「強大生態系統」，瓦解與這些行動者關聯的賬戶和基礎設施。然而，正如「Honestcue」惡意軟件所證明的，只要 API 開放營業，它們就依然開放被利用。