Tradisjonell exploit-kode er kort, kompakt og bærer fingeravtrykk av enkelte forfattere. Den kriminelle koden Google Threat Intelligence Group (GTIG) avdekket var motsatt: ryddig, kommentert og lærebokpreget Python med en hallusinert CVSS-score helt øverst. Det var nettopp den unaturlige overflaten som røpet at en LLM var medforfatter.
Exploiten traff et populært open source-verktøy for web-basert systemadministrasjon. Etter at angriperne hadde gyldige brukerlegitimasjon, bypasset koden 2-faktor-autentisering ved å utnytte en semantisk logikkfeil: en hardkodet tillitsantagelse som motsa appens egne autentiseringsregler. GTIG kontaktet leverandøren og fikk publisert patchen før den planlagte mass-eksploiteringen kunne settes i gang. Google understreker at det ikke var Gemini bak.
«Cyberkriminelle bruker zero-days, ofte i raske mass-eksploiteringskampanjer som denne. Fordi de må bytte mål for utpressing, er det vanskelig å bruke en zero-day i lengre perioder. Beste alternativ er rask utrulling.» — John Hultquist, sjefanalytiker, Google Threat Intelligence Group
Mønsteret strekker seg utover oppdagelse. To malware-familier knyttet til russiske aktører, CANFAIL og LONGSTREAM, bruker LLM-generert «fyllkode» for å skjule den ondsinnete funksjonaliteten. CANFAIL inneholder kommentarer der modellen eksplisitt beskriver kodeblokker som «ubrukt fyll», tegn på at angriperen ba modellen produsere store mengder inaktiv kode for obfuskering. LONGSTREAM har 32 separate instanser av kode som sjekker systemets sommertid-status, en repetitiv pattern designet for å se godartet ut for analytikere.
En Android-bakdør kalt PROMPTSPY, først identifisert av ESET, går enda lenger. Malwaren sender enhetens live brukergrensesnitt-layout til Gemini API og får tilbake presise tap-koordinater og gestkommandoer. Den simulerer klikk og swipes, fanger PIN-koder og låsemønstre, og legger et usynlig overlay over avinstaller-knappen hvis du prøver å fjerne den. Google sier at ingen aktive Play Store-apper inneholder PROMPTSPY akkurat nå, og at Play Protect blokkerer dem.
Supply chain-angrep mot KI-infrastrukturen er også i bevegelse. I mars 2026 kompromitterte gruppen TeamPCP (UNC6780) flere GitHub-repoer, inkludert LiteLLM AI gateway-biblioteket og sårbarhetsskanneren Trivy. Angriperne plantet en credential stealer kalt SANDCLOCK i byggemiljøer og hentet AWS-nøkler og GitHub-tokens, som senere ble videresolgt til ransomware-grupper. LiteLLM-kompromisset er spesielt alvorlig fordi biblioteket kobler applikasjoner til flere KI-leverandører. Lekkete API-secrets gir angripere direkte inngang til organisasjonens KI-miljø.
Hva bør du gjøre?
- Auditer secrets hvis du bruker LiteLLM eller Trivy-bygg fra perioden rundt mars 2026, og roter AWS-nøkler og GitHub-tokens.
- Lås 2FA-implementasjonen: Pass på at semantiske flaggverdier (f.eks.
bypass_auth=true) ikke kan triggers av legitim trafikk. Hardkodede tillitsunntak er nå et primært angrepsmål. - Pass på LLM-signaturer i kode-reviews: Pedagogiske docstrings, hallusinerte CVSS-scorer og uniform Python-stil kan være signaler om automatisert eksploiteringskode i incident-respons.
- Monitorer LLM-billing: PRC-knyttede grupper resirkulerer free-tier-kontoer på Gemini, Claude og OpenAI gjennom relé-tjenester. Uvanlig kreditt-burn kan være kompromitterte API-nøkler.