Google остановила первый zero-day, разработанный AI
Google Threat Intelligence Group обнаружила первый zero-day, разработанный киберпреступниками с помощью AI. Уязвимость позволяла обойти двухфакторную аутентифик
Впервые в истории Google обнаружила zero-day уязвимость, разработанную киберпреступниками с помощью искусственного интеллекта. Угроза предназначалась для массовой скоординированной кибератаки, которая была остановлена до воплощения.
Угроза для администраторов
Google Threat Intelligence Group (GTIG) выявила серьёзную угрозу от группы киберпреступников, которые планировали использовать zero-day уязвимость для обхода двухфакторной аутентификации. Цель атаки — открытый инструмент администрирования веб-систем, широко используемый в корпоративном секторе. Уязвимость позволяла бы получить полный доступ к системам администраторов во множестве организаций. Киберпреступники готовили координированную атаку, которая охватывала бы сразу несколько целей. Это была не просто разработка одного exploit'а, а полноценная операция с целью массового использования. По плану атакующих, взлом двухфакторной защиты открыл бы дверь ко всем системам администрирования в пострадавших организациях. Такой сценарий мог бы привести к компрометации тысяч компаний.
Как узнали, что помогала AI В исходном коде exploit'а исследователи
Google обнаружили явные признаки создания при помощи нейросети. Анализ Python-скрипта показал странные артефакты, типичные для LLM-сгенерированного контента: Галлюцинированные CVSS-скоры — неправильные, придуманные значения серьёзности уязвимостей, которые не соответствуют реальной опасности Структурированное форматирование — код был отформатирован в стиле учебника, с необычной для такого типа exploit'ов регулярностью Странный стиль написания — характерный для больших языковых моделей способ комментирования и именования переменных Необычная логика — отдельные фрагменты скрипта содержали странную последовательность операций, которая работает, но выглядит неестественно Такие признаки появляются, когда LLM генерирует код для специализированных задач, не полностью понимая контекст безопасности и требования к exploit'ам. Нейросеть может следовать синтаксису, но не всегда улавливает семантику.
«Это демонстрирует опасную эволюцию киберугроз.
Если раньше AI помогала в основном с массовыми фишинг-атаками, теперь она помогает создавать серьёзные, целевые exploit'ы», — отмечают исследователи Google в своём отчёте.
Опасность падения входного барьера
Это первый задокументированный случай, когда генеративный AI использовался для разработки zero-day exploit'а. Раньше искусственный интеллект применялся в кибератаках, но в основном для автоматизации рассылок фишинга, создания поддельных профилей и социальной инженерии. Zero-day exploit — это совсем другой уровень опасности. Главное последствие этого открытия: резко снижается входной барьер для разработки серьёзных киберугроз. Теперь киберпреступникам не нужно нанимать опытных разработчиков со знанием архитектуры веб-приложений и уязвимостей. Можно просто попросить ChatGPT, Claude или другую большую языковую модель помочь с кодом exploit'а. Даже если в коде будут ошибки (как те же галлюцинированные CVSS-скоры), exploit останется функциональным и опасным. Это означает, что количество киберугроз может резко увеличиться, так как разработка станет доступнее.
Что это значит для компаний
Открытие Google указывает на ускорение полного цикла разработки киберугроз. Компаниям теперь нужно ещё быстрее реагировать на новые уязвимости и применять патчи критического уровня. Отсрочка патчирования на неделю может быть опасна. Для больших организаций это означает инвестиции не только в периметр безопасности, но и в мониторинг аномалий, быстрое обнаружение подозрительного трафика внутри сети и готовность к инцидентам. AI-разработанные exploit'ы могут быть менее изощрённы, но их будет больше, и они появятся быстрее.