Google interrompeu o primeiro zero-day desenvolvido com AI
O Google Threat Intelligence Group detectou o primeiro zero-day desenvolvido por cibercriminosos com AI. A vulnerabilidade permitia contornar a autenticação em
Pela primeira vez na história, o Google descobriu uma vulnerabilidade zero-day desenvolvida por criminosos cibernéticos com ajuda de inteligência artificial. A ameaça foi destinada a um ataque cibernético coordenado em massa, que foi interrompido antes de ser executado.
Ameaça para administradores
O Google Threat Intelligence Group (GTIG) identificou uma ameaça séria de um grupo de criminosos cibernéticos que planejavam usar uma vulnerabilidade zero-day para contornar a autenticação de dois fatores. O alvo do ataque era uma ferramenta aberta de administração de sistemas web, amplamente utilizada no setor corporativo. A vulnerabilidade teria permitido acesso completo aos sistemas de administradores em inúmeras organizações.
Os criminosos cibernéticos estavam preparando um ataque coordenado que visaria múltiplas vítimas simultaneamente. Não era simplesmente o desenvolvimento de um único exploit, mas uma operação completa com objetivo de exploração em massa. De acordo com o plano dos atacantes, contornar a proteção de dois fatores abriria a porta para todos os sistemas de administração nas organizações afetadas.
Tal cenário poderia ter levado ao comprometimento de milhares de empresas.
Como descobriram o envolvimento da IA
Os pesquisadores do Google encontraram sinais explícitos no código-fonte do exploit indicando que foi criado com ajuda de uma rede neural. A análise do script Python revelou artefatos estranhos típicos de conteúdo gerado por LLM:
- Scores CVSS alucinados — valores incorretos e fabricados de severidade de vulnerabilidades que não correspondem ao risco real
- Formatação estruturada — o código foi formatado em estilo de livro didático, com regularidade incomum para este tipo de exploit
- Estilo de escrita estranho — característico de grandes modelos de linguagem na forma de comentários e nomenclatura de variáveis
- Lógica incomum — certos fragmentos do script continham sequências estranhas de operações que funcionam mas parecem não naturais
Esses sinais aparecem quando LLMs geram código para tarefas especializadas sem compreender totalmente o contexto de segurança e requisitos de exploração. Redes neurais podem seguir a sintaxe, mas nem sempre compreendem a semântica.
"Isto demonstra uma evolução perigosa nas ameaças cibernéticas.
Se antes a IA ajudava principalmente com ataques de phishing em massa, agora ajuda a criar exploits sérios e direcionados," — observam os pesquisadores do Google em seu relatório.
Perigo da redução da barreira de entrada
Este é o primeiro caso documentado onde IA generativa foi usada para desenvolver um exploit zero-day. Anteriormente, a inteligência artificial era aplicada em ataques cibernéticos, mas principalmente para automatizar campanhas de phishing, criar perfis falsos e engenharia social. Um exploit zero-day é um nível completamente diferente de perigo.
A principal consequência dessa descoberta: a barreira de entrada para desenvolver ameaças cibernéticas sérias é dramaticamente reduzida. Agora os criminosos cibernéticos não precisam contratar desenvolvedores experientes com conhecimento de arquitetura de aplicações web e vulnerabilidades. Eles podem simplesmente pedir ao ChatGPT, Claude ou outro grande modelo de linguagem ajuda com código de exploit. Mesmo que o código contenha erros (como aqueles scores CVSS alucinados), o exploit continuará funcional e perigoso. Isto significa que o número de ameaças cibernéticas pode aumentar drasticamente, pois o desenvolvimento se torna mais acessível.
O que isso significa para as empresas
A descoberta do Google aponta para uma aceleração do ciclo completo de desenvolvimento de ameaças cibernéticas. As empresas agora precisam responder ainda mais rapidamente a novas vulnerabilidades e aplicar patches de nível crítico. Adiar a aplicação de patches por uma semana pode ser perigoso. Para grandes organizações, isso significa investir não apenas em segurança de perímetro, mas também em monitoramento de anomalias, detecção rápida de tráfego suspeito dentro da rede e prontidão para incidentes. Os exploits desenvolvidos por IA podem ser menos sofisticados, mas haverá mais deles, e surgirão mais rapidamente.