Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
SecurityWeek · 11.5., 16:13 · sikkerhet

Google sporet første KI-utviklede zero-day: kriminelle brukte språkmodell til å omgå tofaktor

SYNOPSIS_GENERERT

Google rapporterte 10. november at en kriminell gruppe brukte en språkmodell til å utvikle en zero-day-exploit som omgår tofaktorautentisering i et åpent administrasjonsverktøy. Det er første gang Google har høy tillit til at angripere har KI-generert en faktisk zero-day, ikke bare brukt KI som hjelpeverktøy.

Google publiserte rapporten 10. november med data fra Gemini, GTIG og Mandiant. Exploiten var skrevet i Python og omgikk tofaktorautentisering i et åpent webbasert administrasjonsverktøy. Hverken angrepsgruppen eller det rammede verktøyet er navngitt, men Google jobbet med leverandøren for å hindre masseutnyttelse før koden ble sluppet i naturen.

Det er ikke koden i seg selv som peker mot KI, men stilen. Google skriver at scriptet inneholder «en overflod av pedagogiske docstrings, inkludert en hallusinert CVSS-score, og bruker et strukturert, lærebok-Pythonisk format som er svært karakteristisk for LLM-treningsdata».

«Selv om vi ikke tror Gemini ble brukt, har vi basert på struktur og innhold i disse exploitene høy tillit til at aktøren sannsynligvis brukte en KI-modell til å støtte oppdagelsen og våpenifiseringen av denne sårbarheten.» — Google Threat Intelligence Group

Rapporten dokumenterer også at kinesiske og nordkoreanske statsstøttede grupper bruker KI aktivt. UNC2814 brukte en «persona-jailbreak» der modellen ble instruert til å opptre som en senior sikkerhetsrevisor for å analysere TP-Link-firmware. Nordkoreanske APT45 sendte «tusenvis av repeterende prompts» for rekursivt å analysere CVE-er og validere PoC-exploits — en arbeidsmengde som ville vært upraktisk uten KI-assistanse.

At en hallusinert CVSS-score ble igjen i koden er det skarpeste signalet. Angriperen har enten ikke lest gjennom det modellen produserte, eller har bevisst latt det stå. Begge deler er nyttig signatur for forsvarere: KI-generert exploit-kode bærer foreløpig stiltrekk som kan oppdages.

Hva bør du gjøre?

  1. Gå gjennom egne åpne admin-verktøy, særlig de med 2FA-implementasjoner som ikke har vært revidert nylig. Den rammede klassen verktøy er ikke navngitt, men Google sa eksplisitt «webbasert system administrasjon».
  2. Følg med på CVE-feeden ekstra tett de kommende ukene. Vendor-koordinert opplysning betyr at patch-detaljer kan komme nå.
  3. Vurder logging av prompt-mønstre hvis du driver hostet LLM-tjeneste. Repeterende CVE-analyse fra samme bruker er nå et reelt trusselsignal Google selv har dokumentert.
Åpne eksternt kildedokument
sikkerhetGoogleagenter

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN