Eksploitasi 2FA yang Dibangunkan AI
Penyelidik keselamatan siber telah menemui satu pelaku ancaman yang sebelum ini tidak dikenal pasti yang memanfaatkan eksploitasi hari sifar yang dipercayai telah dibangunkan dengan bantuan kecerdasan buatan. Ini menandakan kes pertama yang didokumenkan tentang AI yang digunakan secara aktif dalam operasi berniat jahat dunia sebenar untuk penemuan kerentanan dan penjanaan eksploitasi.
Penyiasat mengaitkan kempen itu dengan kumpulan penjenayah siber yang diselaraskan yang nampaknya telah bekerjasama dalam inisiatif eksploitasi kerentanan berskala besar. Analisis rantaian serangan yang berkaitan mendedahkan kerentanan hari sifar yang terbenam dalam skrip Python yang mampu memintas perlindungan pengesahan dua faktor (2FA) dalam platform pentadbiran sistem berasaskan web sumber terbuka yang digunakan secara meluas.
Walaupun tiada bukti langsung yang mengaitkan alat AI Gemini Google dengan operasi tersebut, para penyelidik menyimpulkan dengan keyakinan yang tinggi bahawa model AI memainkan peranan penting dalam menemui dan menjadikan kecacatan tersebut sebagai senjata. Kod Python memaparkan pelbagai ciri yang biasanya dikaitkan dengan output yang dijana oleh model bahasa besar (LLM), termasuk pemformatan yang sangat berstruktur, dokumentari pendidikan yang meluas, menu bantuan terperinci dan pelaksanaan warna ANSI yang bersih. Skrip tersebut juga mengandungi skor CVSS yang direka-reka, contoh biasa halusinasi AI.
Isi kandungan
Bagaimana Eksploitasi Pintasan 2FA Berfungsi
Kerentanan yang dikenal pasti memerlukan kelayakan pengguna yang sah untuk berfungsi dengan jayanya. Para penyelidik mendapati bahawa kecacatan itu berasal daripada kelemahan logik semantik yang disebabkan oleh andaian kepercayaan berkod keras dalam proses pengesahan aplikasi. Kecacatan logik peringkat tinggi sedemikian semakin berada dalam keupayaan analitikal sistem LLM moden.
Pakar keselamatan memberi amaran bahawa AI sedang mempercepatkan setiap peringkat kitaran hayat serangan siber secara mendadak, daripada penemuan kerentanan kepada pengesahan eksploitasi dan penggunaan operasi. Penggunaan AI yang semakin meningkat oleh pelaku ancaman mengurangkan masa dan usaha yang diperlukan untuk mengenal pasti kelemahan dan melancarkan serangan, sekali gus meletakkan pertahanan di bawah tekanan yang semakin meningkat.
AI Memperluas Lanskap Perisian Hasad dan Eksploitasi
Kecerdasan buatan tidak lagi terhad kepada membantu penyelidikan kerentanan. Pelakon ancaman kini menggunakan AI untuk membina perisian hasad polimorfik, mengautomasikan operasi berniat jahat dan menyembunyikan fungsi serangan. Satu contoh penting ialah PromptSpy, sejenis strain perisian hasad Android yang menyalahgunakan Gemini untuk menganalisis aktiviti pada skrin dan mengeluarkan arahan yang membantu perisian hasad kekal disematkan dalam senarai aplikasi terkini.
Penyelidik juga telah mendokumentasikan beberapa kes berprofil tinggi yang melibatkan aktiviti berniat jahat yang dibantu Gemini:
Kumpulan pengintipan siber yang disyaki berkaitan China, UNC2814 dilaporkan menggunakan gesaan jailbreak yang dipacu oleh persona untuk memaksa Gemini menyandang peranan sebagai pakar keselamatan rangkaian. Objektifnya adalah untuk menyokong penyelidikan kerentanan yang menyasarkan peranti terbenam, termasuk perisian tegar TP-Link dan pelaksanaan Protokol Pemindahan Fail Odette (OFTP).
Pelakon ancaman Korea Utara, APT45 didakwa mengeluarkan beribu-ribu gesaan rekursif yang direka untuk menganalisis CVE dan mengesahkan eksploitasi bukti konsep.
Kumpulan penggodam China APT27 dilaporkan menggunakan Gemini untuk mempercepatkan pembangunan aplikasi pengurusan armada yang mungkin bertujuan untuk mengurus infrastruktur kotak geganti operasi (ORB).
Operasi pencerobohan berkaitan Rusia yang menyasarkan organisasi Ukraine telah menggunakan keluarga perisian hasad berbantukan AI yang dikenali sebagai CANFAIL dan LONGSTREAM, yang kedua-duanya menggabungkan kod umpan yang dihasilkan oleh LLM untuk menyembunyikan tingkah laku berniat jahat.
Data Latihan Bersenjata dan Operasi AI Autonomi
Pelakon ancaman juga telah diperhatikan bereksperimen dengan repositori GitHub khusus bernama 'wooyun-legacy', yang direka bentuk sebagai plugin kemahiran kod Claude. Repositori ini mengandungi lebih daripada 5,000 kes kerentanan dunia sebenar yang pada asalnya dikumpulkan oleh platform pendedahan kerentanan Cina WooYun antara 2010 dan 2016.
Dengan memasukkan set data ini ke dalam sistem AI, penyerang boleh mendayakan pembelajaran dalam konteks yang melatih model untuk mendekati analisis kod sumber dengan ketepatan penyelidik keselamatan yang berpengalaman. Ini meningkatkan keupayaan AI dengan ketara untuk mengenal pasti kelemahan logik halus yang mungkin diabaikan oleh model standard.
Para penyelidik juga mendedahkan bahawa seorang pelaku ancaman yang disyaki bersekutu dengan China telah menggunakan alat AI ejen seperti Hexstrike AI dan Strix semasa serangan terhadap sebuah syarikat teknologi Jepun dan platform keselamatan siber utama Asia Timur. Alat ini dilaporkan membolehkan operasi peninjauan dan penemuan automatik dengan intervensi manusia yang minimum.
Implikasi Keselamatan yang Semakin Berkembang bagi AI yang Menyinggung
Penemuan ini menggariskan perubahan besar dalam landskap ancaman siber. AI berkembang pesat daripada alat produktiviti kepada pengganda daya untuk operasi siber yang menyinggung perasaan. Daripada menemui kerentanan hari sifar kepada mengautomasikan penggunaan perisian hasad dan meningkatkan kerahsiaan operasi, kecerdasan buatan secara asasnya mengubah cara serangan siber dirancang dan dilaksanakan.
Ketika keupayaan siber yang dipacu AI terus matang, organisasi menghadapi masa depan di mana serangan menjadi lebih pantas, lebih adaptif dan semakin sukar dikesan sebelum kerosakan berlaku.
