Исследователи из подразделения Google Threat Intelligence Group (GTIG) сообщили о качественном сдвиге в киберпреступности. Злоумышленники перешли от разрозненных атак с применением нейросетей к промышленным масштабам, впервые использовав искусственный интеллект для обнаружения и эксплуатации уязвимости нулевого дня — критической бреши в защите, для которой еще не выпущено исправление.
Механизм атаки и роль нейросетей
Специалисты Google обнаружили попытку масштабной эксплуатации популярного инструмента для системного администрирования с открытым кодом. ИИ помог хакерам найти способ обхода двухфакторной аутентификации (2FA). Уязвимость крылась в логической ошибке, связанной с жестко прописанным в коде доверительным допущением, которое разработчики заложили по ошибке.
Традиционные инструменты сканирования безопасности и фаззеры (программы для поиска багов методом подачи случайных данных) часто пропускают подобные семантические ошибки. Однако большие языковые модели продемонстрировали высокую эффективность в контекстном анализе. Нейросети оказались способны выявлять взаимосвязи между намерениями разработчика и аппаратными исключениями, которые скрыты от стандартных средств защиты.
Масштабирование угроз
Согласно отчету GTIG, злоумышленники проанализировали Python-скрипт с помощью ИИ, опираясь на обилие пояснительных комментариев в коде и структуры, характерные для обучающих выборок нейросетей. Попытка массовой атаки была предотвращена после того, как Google уведомил вендора о проблеме.
Помимо поиска уязвимостей, эксперты отмечают следующие тренды:
- Использование метода взлома через «ролевые модели» (jailbreak), когда ИИ заставляют игнорировать этические фильтры, задавая ему роль эксперта по безопасности для исследования прошивок устройств и сетевых протоколов.
- Анализ базы из более чем 85 000 реальных уязвимостей, собранных на китайской платформе WooYun, для обучения нейросетей выявлению аналогичных слабых мест в другом программном обеспечении.
- Активность государственных хакерских группировок, которые применяют ИИ для детального изучения критической инфраструктуры.
Для противодействия новым угрозам разработчикам рекомендуется внедрять и регулярно тестировать защитные барьеры внутри систем ИИ. В то же время аналитики подчеркивают, что защитники также могут использовать нейросети для превентивного анализа программного обеспечения на наличие уязвимостей.
* — деятельность компании запрещена на территории РФ
