AI-udviklet 2FA-exploit
Cybersikkerhedsforskere har afdækket en hidtil uidentificeret trusselsaktør, der udnytter et zero-day-angreb, som menes at være udviklet ved hjælp af kunstig intelligens. Dette markerer det første dokumenterede tilfælde af, at kunstig intelligens aktivt bruges i virkelige ondsindede operationer til at opdage sårbarheder og generere angreb.
Efterforskere tilskriver kampagnen koordinerede cyberkriminelle grupper, der tilsyneladende har samarbejdet om et storstilet initiativ til udnyttelse af sårbarheder. Analyse af den tilhørende angrebskæde afslørede en zero-day-sårbarhed indlejret i et Python-script, der er i stand til at omgå tofaktorgodkendelse (2FA) i en udbredt open source, webbaseret systemadministrationsplatform.
Selvom der ikke er direkte beviser, der forbinder Googles Gemini AI-værktøj med operationen, konkluderede forskerne med stor sikkerhed, at en AI-model spillede en betydelig rolle i at opdage og udnytte fejlen som våben. Python-koden udviste flere karakteristika, der almindeligvis forbindes med output genereret af store sprogmodeller (LLM), herunder meget struktureret formatering, omfattende uddannelsesmæssige dokumentationsstrenge, detaljerede hjælpemenuer og en ren ANSI-farveimplementering. Scriptet indeholdt også en fabrikeret CVSS-score, et almindeligt eksempel på AI-hallucinationer.
Indholdsfortegnelse
Sådan fungerede 2FA Bypass Exploit
Den identificerede sårbarhed krævede legitime brugeroplysninger for at fungere korrekt. Forskerne fastslog, at fejlen stammede fra en semantisk logisk svaghed forårsaget af en hardcodet tillidsantagelse i applikationens godkendelsesproces. Sådanne logiske fejl på højt niveau er i stigende grad inden for de analytiske muligheder i moderne LLM-systemer.
Sikkerhedseksperter advarer om, at AI dramatisk accelererer alle faser af cyberangrebs livscyklus, fra opdagelse af sårbarheder til validering af udnyttelser og operationel implementering. Den stigende brug af AI af trusselsaktører reducerer den tid og indsats, der kræves for at identificere svagheder og iværksætte angreb, hvilket sætter forsvarere under stigende pres.
AI udvider malware- og udnyttelseslandskabet
Kunstig intelligens er ikke længere begrænset til at hjælpe med sårbarhedsforskning. Trusselaktører bruger nu kunstig intelligens til at bygge polymorf malware, automatisere ondsindede operationer og skjule angrebsfunktionalitet. Et bemærkelsesværdigt eksempel er PromptSpy, en Android-malware-stamme, der misbruger Gemini til at analysere aktivitet på skærmen og udstede instruktioner, der hjælper malwaren med at forblive fastlåst på listen over seneste applikationer.
Forskere har også dokumenteret adskillige højprofilerede sager, der involverer Gemini-assisteret ondsindet aktivitet:
Den formodede cyberspionagegruppe UNC2814 med tilknytning til Kina brugte angiveligt persona-drevne jailbreaking-prompts til at tvinge Gemini til at påtage sig rollen som netværkssikkerhedsekspert. Formålet var at understøtte sårbarhedsforskning rettet mod indlejrede enheder, herunder TP-Link firmware og Odette File Transfer Protocol (OFTP) implementeringer.
Den nordkoreanske trusselsaktør APT45 angiveligt udsendte tusindvis af rekursive prompts designet til at analysere CVE'er og validere proof-of-concept-angreb.
Den kinesiske hackergruppe APT27 brugte angiveligt Gemini til at accelerere udviklingen af en flådestyringsapplikation, der sandsynligvis var beregnet til at styre en ORB-infrastruktur (operational relay box).
Rusland-tilknyttede indtrængningsoperationer rettet mod ukrainske organisationer anvendte AI-assisterede malwarefamilier kendt som CANFAIL og LONGSTREAM, som begge inkorporerede LLM-genereret lokkekode for at skjule ondsindet adfærd.
Våbenbaserede træningsdata og autonome AI-operationer
Derudover er trusselsaktører blevet observeret, mens de eksperimenterede med et specialiseret GitHub-arkiv ved navn 'wooyun-legacy', designet som et Claude-kode-færdighedsplugin. Arkivet indeholder mere end 5.000 virkelige sårbarhedssager, der oprindeligt blev indsamlet af den kinesiske sårbarhedsoffentliggørelsesplatform WooYun mellem 2010 og 2016.
Ved at indføre dette datasæt i AI-systemer kan angribere muliggøre kontekstbaseret læring, der træner modeller til at gribe kildekodeanalyse an med erfarne sikkerhedsforskeres præcision. Dette forbedrer AI'ens evne til at identificere subtile logiske fejl, som standardmodeller måske overser, betydeligt.
Forskere afslørede også, at en formodet Kina-allieret trusselsaktør anvendte agentiske AI-værktøjer såsom Hexstrike AI og Strix under angreb mod en japansk teknologivirksomhed og en større østasiatisk cybersikkerhedsplatform. Disse værktøjer muliggjorde angiveligt automatiserede rekognoscerings- og opdagelsesoperationer med minimal menneskelig indgriben.
De voksende sikkerhedsmæssige konsekvenser af offensiv AI
Resultaterne understreger et større skift i cybertrusselslandskabet. Kunstig intelligens udvikler sig hurtigt fra et produktivitetsværktøj til en kraftmultiplikator for offensive cyberoperationer. Fra at opdage zero-day-sårbarheder til at automatisere implementering af malware og forbedre operationel stealth, ændrer kunstig intelligens fundamentalt, hvordan cyberangreb planlægges og udføres.
I takt med at AI-drevne cyberkapaciteter fortsætter med at modnes, står organisationer over for en fremtid, hvor angreb bliver hurtigere, mere adaptive og stadig vanskeligere at opdage, før der opstår skade.
