谷歌：黑客正利用AI技术开发新型恶意软件盗取加密货币

这是一个非常典型的案例，它精准地描绘了安全攻防领域一场正在发生的范式转移。攻击者利用大型语言模型动态生成恶意代码，这从根本上改变了恶意软件的创作、传播和隐匿方式。

传统恶意软件依赖于静态的、预先编写好的代码库。安全防御体系，无论是基于特征码的杀毒软件还是基于行为分析的沙箱，其核心逻辑都是识别已知的恶意模式或异常行为。但“实时代码创建”技术将攻击变成了一个“按需生成”的过程。攻击者无需携带完整的恶意载荷，只需携带一个能调用外部AI模型的、功能简单的“种子”程序。这个种子程序可以根据目标环境的具体情况——比如操作系统版本、已安装的安全软件、甚至当前时间——动态生成独一无二的、从未出现过的恶意代码。

这就使得传统的检测方法几乎失效。因为每一次攻击生成的代码都是新的，没有特征码可供匹配；如果种子程序本身行为足够隐蔽，在调用AI生成真正有害的代码之前，它也可能无法触发行为监控警报。这极大地提升了攻击的隐蔽性和成功率。

UNC1069这类国家背景的黑客组织对此类技术表现出浓厚兴趣是必然的。加密货币盗窃对于他们而言是一项低风险、高收益的“业务”，能为国家活动提供资金。AI生成的钓鱼脚本可以更精准地模仿官方通信，语法错误更少，欺骗性更强；探测钱包数据的工具可以更智能地筛选高价值目标，提高攻击效率。

这一趋势也与去中心化AI和加密技术的融合这一宏大背景紧密相关。一方面，攻击者在利用中心化的AI服务（如Gemini）进行作恶；另一方面，社区也在探索用加密技术和去中心化网络来构建更抗审查、更保护隐私的AI基础设施。这本质上是一场关于“AI权力”归属的竞赛：权力是继续集中在少数几家科技巨头手中，还是能通过密码学和经济模型实现更广泛的分布？

对于加密货币用户而言，这一威胁升级意味着必须彻底抛弃“技术无罪”的侥幸心理。安全不再仅仅是交易所或钱包提供商的责任，而成为了每个用户的首要任务。硬件钱包存储大量资产、对任何索要私钥或助记词的行为保持极度警惕、为不同用途设置不同钱包并隔离资产、对所有未经请求的链接和文件保持怀疑，这些早已是老生常谈的安全实践，但在AI驱动的定向攻击面前，其重要性被提升到了前所未有的高度。因为攻击者现在拥有了一个不知疲倦、能快速迭代并高度定制化攻击策略的“AI助手”。

谷歌禁用相关账户是治标，加强模型访问的安全措施是增加攻击者利用其服务的成本。但根本的解决方案在于防御技术本身的进化。安全行业必须开发出下一代防御工具，可能同样需要深度集成AI技术，专注于检测代码的“意图”而非其“签名”，从而在恶意代码被执行前就识别出其潜在危害。这是一场AI与AI之间的猫鼠游戏，而游戏才刚刚开始。