一名說俄語的網路罪犯利用遭越獄的 Google Gemini CLI 版本,建置並操作一個實際運作的殭屍網路;在貫穿整起事件的關鍵一刻,他僅以俄語輸入一道指令,便在約六分鐘內重建整套命令與控制(C2)架構。這項發現來自 Trend Micro 的研究團隊,他們取得並分析了該罪犯超過 200 份 Gemini CLI 對話紀錄;這是迄今記錄最清楚的案例之一,顯示 AI 代理不只是從旁協助犯罪,而是扛起了犯罪中最吃重的工作。
關鍵事件發生在 3 月 23 日。該罪犯原有的基礎設施透過 Cloudflare 隧道轉送受害者連線,當時正被防火牆與防毒軟體封鎖。他沒有動手重建,而是輸入一段簡短的俄語提示,大意是「研究 C2 遷移」,接著讓模型接手。約六分鐘後,命令與控制(C2)的遷移便告完成。根據 Trend Micro 的統計,人類約完成 11% 的工作,其餘皆由 AI 包辦。
這些紀錄開啟了從 3 月中到 4 月底、長達一個月的觀察窗口,呈現研究人員口中每日發生的 AI 輔助犯罪,而這名操作者看起來並非頂尖駭客。他單打獨鬥,以白話下達指令,模型則負責架構、編寫程式、部署與除錯,並在數十個案例中未經要求便自行提出並執行改良。這個殭屍網路觸及了要害目標,包括一家牙醫診所的八台電腦,其中部分還能存取病歷資料庫。
真正該令防禦者憂心的,不是特定工具,而是此案所展現的事實。建置與遷移命令與控制(C2)基礎設施,正是過去決定誰有能力運作殭屍網路、既需技術又繁瑣的工作。如今有一個代理能在約六分鐘內,為一個大致知道自己要什麼、卻不懂如何建置的人完成這件事,等於瓦解了那道門檻。AI 與網路犯罪的故事過去多半圍繞在更精巧的網路釣魚與更廉價的惡意軟體,而這是一次質變:一個自主代理實質上主導了整場行動。
這件事的重要性,在同一週的另一則消息映照下更顯清晰:OpenAI 揭露了 GPT-Red,那是一款其自行打造、用於搜尋安全漏洞,並選擇僅供內部使用、不對外開放的 AI。將兩者並置,便能看見同一種能力的一體兩面:同樣的代理式技能既能強化系統,一旦遭越獄並反向運用,也能比任何人類更快將系統拆解。這使得防護機制與抗越獄能力不再只是可有可無的加分項,而是一道承重牆,因為模型並不在乎鍵盤前的人是在防禦網路,還是在洗劫一家牙醫診所。對每一個推出強大 AI 代理的人而言,這是一個令人不安的證明,揭示這樣的代理一旦脫離掌控會是什麼模樣。
