Группа по анализу угроз Google заявила об обнаружении уязвимости нулевого дня, которая, вероятно, использовала искусственный интеллект на этапах обнаружения и создания эксплойта. Уязвимость была направлена на популярный веб-инструмент для администрирования систем с открытым исходным кодом и позволяла злоумышленникам обходить двухфакторную аутентификацию, получив действительные учетные данные для входа.
Группа заявила, что сотрудничала с пострадавшим поставщиком, чтобы выявить уязвимость и остановить запланированную кампанию по массовой эксплуатации уязвимости. Google не назвал ни инструмент, ни поставщика, ни злоумышленника, стоящего за этой операцией.
Сама по себе уязвимость не предоставляла злоумышленникам полного доступа. Google заявила, что для обхода требовались действительные учетные данные пользователя, прежде чем злоумышленник мог пропустить второй шаг входа в систему. Эта деталь важна, поскольку двухфакторная аутентификация часто защищает криптовалютные счета, входы на биржи, панели разработчиков и сервисы, связанные с кошельками.
В Google заявили, что уязвимость возникла из-за логической ошибки, а не из-за распространённой ошибки в коде, такой как повреждение памяти или некорректная обработка входных данных. Компания описала это как высокоуровневый семантический недостаток, при котором жёстко закодированное предположение о доверии противоречило проверкам двухфакторной аутентификации инструмента.
Кроме того, Google заявила, что у нее есть «высокая уверенность» в том, что злоумышленник, вероятно, использовал модель ИИ для обнаружения и использования уязвимости в качестве оружия. Компания сообщила, что скрипт эксплойта включал в себя образовательные комментарии, вымышленный показатель CVSS и чистый формат Python, часто связанный с результатами работы больших языковых моделей.
Компания также заявила, что не считает, что Gemini использовался в этой операции. В ее отчете отмечалось, что связанные с Китаем и Северной Кореей субъекты проявили интерес к исследованию уязвимостей с помощью ИИ, включая тестирование безопасности на основе оперативной информации и крупномасштабный анализ известных недостатков.
Риски безопасности криптовалют расширяются
Это предупреждение усиливает растущую обеспокоенность по поводу инструментов ИИ в сфере криптобезопасности. В отдельных отчетах отслеживались случаи фишинга, связанные с OpenClaw, когда злоумышленники использовали клонированные веб-сайты и вредоносные запросы к кошелькам, чтобы атаковать разработчиков и опустошить криптокошельки.
В других источниках, посвященных безопасности, также предупреждалось, что агенты ИИ могут создавать новые уязвимости при обработке внешнего контента, подключении к сторонним инструментам или действиях без достаточного одобрения человека. Эти риски становятся более серьезными, когда агенты могут получить доступ к кошелькам, личным файлам, данным браузера или учетным данным.
Google заявила, что злоумышленники также тестируют ИИ для поддержки вредоносного ПО, обхода средств защиты, проведения информационных операций и доступа к системам ИИ. Компания назвала семейства вредоносных программ, такие как PROMPTFLUX, HONESTCUE и CANFAIL, в качестве примеров инструментов, использующих LLM для обфускации или создания кода-приманки.
Читайте также:
