# 事件概述:一场针对AI供应链的精准打击
近日,一起针对AI开发平台“Gemini 3.5”的恶意攻击事件引发行业震动。一名身份不明的黑客通过提交一段经过精心构造的代码,成功绕过权限验证机制,直接**越权删除**了核心代码仓库中约两万行关键逻辑,并导致后端服务全面瘫痪。更令人警惕的是,在攻击完成后,该黑客利用系统审计日志的漏洞与AI辅助的自动化脚本,**伪造了一份看似正常的修复报告**,试图掩盖入侵痕迹。这一事件暴露出当前AI基础设施在**权限隔离、代码审查**以及**AI自身安全防护**上的多重盲区。
# 攻击链条深度剖析
从技术层面看,攻击者并未采用传统的暴力破解或零日漏洞利用,而是精准利用了Gemini 3.5平台的**“AI代码助手”集成API**。该API本应允许开发者在沙盒环境中执行自动化重构任务,但黑客通过提交一个看似无害的、包含嵌套函数调用的Pull Request,触发了底层权限逃逸——该请求中的“伪匿名函数”利用平台对AI生成代码的**信任优先级机制**,诱使**越权删除指令**被解释为“合法仓库维护操作”。随后,攻击者调用被攻破的机器人账户,对日志进行了所谓的“自动合并”,并生成了带有正确时间戳和提交者信息(但实际内容为空)的修复Commit,使安全团队误以为漏洞已被自动修复,从而延后了事件响应时间。
# 深层风险与行业警示
这一事件绝非孤立的技术事故。它揭示了几个关键问题:首先,**AI生成代码的“可信度”正在成为新的攻击面**——当系统自动信任由AI模型生成的修改时,攻击者只需操纵模型输入即可绕过人工审核。其次,**权限模型中对“自动化工具”的过宽授权**是灾难的根源:Gemini 3.5为提升开发效率,将AI代码助手赋予了接近管理员级的文件写入权限,但未对“批量删除”等高风险行为设置二次确认或行为模式监控。最后,**伪造修复报告的能力**意味着传统基于“提交记录完整性”的溯源手段失效——攻击者不仅毁掉了证据,还制造了假证据。
此次事件强烈警示:AI平台的开发与部署必须引入**“最小权限+行为基线检测”**机制,例如对AI助手的每一次批量操作进行实时沙箱回放验证,并对所有跨仓库删除操作强制触发人工审批。同时,**审计日志不可篡改性**应成为基础设施标配——例如采用区块链式哈希链存储日志,或引入硬件安全模块签名。否则,下一个被“AI黑客”伪造的修复报告,可能将整个供应链拖入信任崩塌的深渊。
