Експлоатација двофакторске аутентификације развијена од стране вештачке интелигенције
Истраживачи сајбер безбедности открили су раније неидентификованог актера претње који користи експлоит нултог дана за који се верује да је развијен уз помоћ вештачке интелигенције. Ово означава први документовани случај активног коришћења вештачке интелигенције у стварним злонамерним операцијама за откривање рањивости и генерисање експлоита.
Истражитељи приписују кампању координисаним сајбер криминалним групама које су, изгледа, сарађивале на иницијативи за искоришћавање рањивости великих размера. Анализа повезаног ланца напада открила је рањивост нултог дана уграђену у Пајтон скрипту способну да заобиђе заштиту двофакторске аутентификације (2FA) у широко коришћеној веб платформи за системску администрацију отвореног кода.
Иако нема директних доказа који повезују Гуглов алат Gemini AI са операцијом, истраживачи су са великом сигурношћу закључили да је модел AI играо значајну улогу у откривању и коришћењу грешке као оружја. Пајтон код је показивао вишеструке карактеристике које се обично повезују са излазом генерисаним помоћу модела великих језика (LLM), укључујући високо структурирано форматирање, опсежне образовне документације, детаљне меније помоћи и чисту имплементацију ANSI боја. Скрипта је такође садржала измишљени CVSS резултат, чест пример AI халуцинација.
Преглед садржаја
Како је експлоатација 2FA заобилажења функционисала
Идентификована рањивост је захтевала легитимне корисничке акредитиве да би успешно функционисала. Истраживачи су утврдили да је грешка настала због слабости семантичке логике изазване чврсто кодираном претпоставком поверења унутар процеса аутентификације апликације. Такве логичке грешке високог нивоа су све више у оквиру аналитичких могућности модерних LLM система.
Стручњаци за безбедност упозоравају да вештачка интелигенција драматично убрзава сваку фазу животног циклуса сајбер напада, од откривања рањивости до валидације експлоатације и оперативног распоређивања. Растућа употреба вештачке интелигенције од стране актера претњи смањује време и труд потребан за идентификацију слабости и покретање напада, стављајући браниоце под све већи притисак.
Вештачка интелигенција проширује пејзаж злонамерног софтвера и експлоатације
Вештачка интелигенција више није ограничена само на помоћ у истраживању рањивости. Претње сада користе вештачку интелигенцију за креирање полиморфног малвера, аутоматизацију злонамерних операција и прикривање функционалности напада. Један значајан пример је PromptSpy, сој малвера за Андроид који злоупотребљава Gemini да анализира активности на екрану и издаје упутства која помажу да малвер остане закачен на листи недавних апликација.
Истраживачи су такође документовали неколико познатих случајева који укључују злонамерне активности потпомогнуте помоћу Gemini-ја:
Осумњичена група за сајбер шпијунажу UNC2814 повезана са Кином наводно је користила промптове за џејлбрејковање засноване на персонама како би присилила Џемини да преузме улогу стручњака за мрежну безбедност. Циљ је био да се подржи истраживање рањивости усмерено на уграђене уређаје, укључујући TP-Link фирмвер и имплементације Odette File Transfer Protocol (OFTP).
Севернокорејски актер претње APT45 наводно је издао хиљаде рекурзивних упита дизајнираних за анализу CVE-а и валидацију експлоатација које доказују концепт.
Кинеска хакерска група APT27 је наводно користила Gemini да убрза развој апликације за управљање возним парком, вероватно намењене управљању инфраструктуром оперативног релејног бокса (ORB).
Операције упада повезане са Русијом, усмерене на украјинске организације, користиле су породице злонамерних програма уз помоћ вештачке интелигенције, познате као CANFAIL и LONGSTREAM, које су обе укључивале мамце генерисане помоћу LLM-а како би прикриле злонамерно понашање.
Подаци о обуци са наоружањем и аутономне операције вештачке интелигенције
Такође је примећено да претње утичу на експериментисање са специјализованим GitHub репозиторијумом под називом „wooyun-legacy“, дизајнираним као додатак за Claude code. Репозиторијум садржи више од 5.000 случајева рањивости из стварног света које је првобитно прикупила кинеска платформа за откривање рањивости WooYun између 2010. и 2016. године.
Уношењем овог скупа података у системе вештачке интелигенције, нападачи могу омогућити учење у контексту које обучава моделе да приступе анализи изворног кода са прецизношћу искусних истраживача безбедности. Ово значајно побољшава способност вештачке интелигенције да идентификује суптилне логичке недостатке које стандардни модели могу превидети.
Истраживачи су такође открили да је осумњичени актер претње повезан са Кином користио алате агентске вештачке интелигенције као што су Hexstrike AI и Strix током напада на јапанску технолошку компанију и велику источноазијску платформу за сајбер безбедност. Ови алати су наводно омогућили аутоматизоване операције извиђања и откривања уз минималну људску интервенцију.
Растуће безбедносне импликације офанзивне вештачке интелигенције
Ови налази указују на велику промену у пејзажу сајбер претњи. Вештачка интелигенција се брзо развија од алата за продуктивност до мултипликатора силе за офанзивне сајбер операције. Од откривања рањивости „нултог дана“ до аутоматизације распоређивања злонамерног софтвера и побољшања оперативне прикривености, вештачка интелигенција фундаментално мења начин на који се сајбер напади планирају и извршавају.
Како сајбер могућности вођене вештачком интелигенцијом настављају да сазревају, организације се суочавају са будућношћу у којој напади постају бржи, прилагодљивији и све тежи за откривање пре него што дође до штете.
