2FA Exploit na Binuo ng AI
Natuklasan ng mga mananaliksik sa cybersecurity ang isang dating hindi nakikilalang aktor ng banta na gumagamit ng isang zero-day exploit na pinaniniwalaang binuo sa tulong ng artificial intelligence. Ito ang unang dokumentadong kaso ng AI na aktibong ginagamit sa mga totoong malisyosong operasyon para sa pagtuklas ng kahinaan at pagbuo ng exploit.
Iniuugnay ng mga imbestigador ang kampanya sa mga koordinadong cybercriminal group na tila nakipagtulungan sa isang malawakang inisyatibo sa pagsasamantala ng kahinaan. Ang pagsusuri sa kaugnay na kadena ng pag-atake ay nagsiwalat ng isang zero-day na kahinaan na naka-embed sa loob ng isang Python script na may kakayahang malampasan ang mga proteksyon ng two-factor authentication (2FA) sa isang malawakang ginagamit na open-source, web-based na platform ng pangangasiwa ng sistema.
Bagama't walang direktang ebidensya na nag-uugnay sa Gemini AI tool ng Google sa operasyon, lubos na kumpiyansa ang mga mananaliksik na nagtapos na ang isang AI model ay gumanap ng mahalagang papel sa pagtuklas at pag-armas sa depekto. Ang Python code ay nagpakita ng maraming katangian na karaniwang nauugnay sa output na nabuo ng malaking language model (LLM), kabilang ang lubos na nakabalangkas na formatting, malawak na mga dokumentong pang-edukasyon, detalyadong mga menu ng tulong, at isang malinis na implementasyon ng kulay ng ANSI. Naglalaman din ang script ng isang gawa-gawang CVSS score, isang karaniwang halimbawa ng AI hallucination.
Talaan ng mga Nilalaman
Paano Gumagana ang 2FA Bypass Exploit
Ang natukoy na kahinaan ay nangangailangan ng mga lehitimong kredensyal ng gumagamit upang gumana nang matagumpay. Natukoy ng mga mananaliksik na ang depekto ay nagmula sa isang kahinaan sa semantic logic na dulot ng isang hard-coded trust assumption sa loob ng proseso ng pagpapatunay ng aplikasyon. Ang ganitong mga high-level logic flaws ay lalong nasa loob ng mga kakayahan sa pagsusuri ng mga modernong sistema ng LLM.
Nagbabala ang mga eksperto sa seguridad na lubhang pinapabilis ng AI ang bawat yugto ng siklo ng buhay ng cyberattack, mula sa pagtuklas ng kahinaan hanggang sa pagpapatunay ng pagsasamantala at pagpapatakbo ng operasyon. Ang lumalaking paggamit ng AI ng mga aktor ng banta ay binabawasan ang oras at pagsisikap na kinakailangan upang matukoy ang mga kahinaan at maglunsad ng mga pag-atake, na naglalagay sa mga tagapagtanggol sa ilalim ng pagtaas ng presyon.
Pinalalawak ng AI ang Malware at Exploitation Landscape
Hindi na limitado sa pagtulong sa pananaliksik sa kahinaan ang artificial intelligence. Ginagamit na ngayon ng mga threat actor ang AI upang bumuo ng polymorphic malware, i-automate ang mga malisyosong operasyon, at itago ang functionality ng pag-atake. Ang isang kapansin-pansing halimbawa ay ang PromptSpy, isang Android malware strain na umaabuso sa Gemini upang suriin ang aktibidad sa screen at mag-isyu ng mga tagubilin na tumutulong sa malware na manatiling naka-pin sa loob ng listahan ng mga kamakailang application.
Naitala rin ng mga mananaliksik ang ilang kilalang kaso na kinasasangkutan ng malisyosong aktibidad na tinutulungan ng Gemini:
Ang pinaghihinalaang cyber espionage group na UNC2814 na may kaugnayan sa Tsina ay naiulat na gumamit ng mga prompt sa jailbreaking na hinimok ng mga persona upang pilitin ang Gemini na gampanan ang papel ng isang eksperto sa seguridad ng network. Ang layunin ay suportahan ang pananaliksik sa kahinaan na nagta-target sa mga naka-embed na device, kabilang ang TP-Link firmware at mga implementasyon ng Odette File Transfer Protocol (OFTP).
Ang aktor na mahilig sa banta sa Hilagang Korea na APT45 ay umano'y naglabas ng libu-libong recursive prompt na idinisenyo upang suriin ang mga CVE at patunayan ang mga proof-of-concept exploit.
Iniulat na ginamit ng Chinese hacking group na APT27 ang Gemini upang mapabilis ang pagbuo ng isang fleet management application na malamang na nilayon upang pamahalaan ang isang operational relay box (ORB) infrastructure.
Ang mga operasyon ng panghihimasok na may kaugnayan sa Russia na tumatarget sa mga organisasyong Ukrainian ay naglagay ng mga pamilya ng malware na tinutulungan ng AI na kilala bilang CANFAIL at LONGSTREAM, na parehong nagsama ng decoy code na binuo ng LLM upang itago ang malisyosong pag-uugali.
Datos ng Pagsasanay na Naka-armas at Mga Operasyon ng Awtonomong AI
Bukod pa rito, naobserbahan din ang mga threat actor na nag-eeksperimento sa isang espesyal na GitHub repository na pinangalanang 'wooyun-legacy,' na idinisenyo bilang isang Claude code skill plugin. Ang repository ay naglalaman ng mahigit 5,000 totoong mga kaso ng kahinaan na orihinal na nakolekta ng Chinese vulnerability disclosure platform na WooYun sa pagitan ng 2010 at 2016.
Sa pamamagitan ng pagpapasok ng dataset na ito sa mga AI system, maaaring paganahin ng mga attacker ang in-context learning na nagsasanay sa mga modelo na lapitan ang source code analysis nang may katumpakan ng mga bihasang security researcher. Malaki ang naitutulong nito sa kakayahan ng AI na matukoy ang mga banayad na depekto sa lohika na maaaring hindi mapansin ng mga karaniwang modelo.
Isiniwalat din ng mga mananaliksik na isang pinaghihinalaang aktor ng banta na kaalyado ng Tsina ang gumamit ng mga tool ng ahente ng AI tulad ng Hexstrike AI at Strix sa mga pag-atake laban sa isang kumpanya ng teknolohiya sa Hapon at isang pangunahing platform ng cybersecurity sa Silangang Asya. Iniulat na ang mga tool na ito ay nagbigay-daan sa mga automated na operasyon ng pagmamanman at pagtuklas na may kaunting interbensyon ng tao.
Ang Lumalaking Implikasyon sa Seguridad ng Nakakasakit na AI
Binibigyang-diin ng mga natuklasan ang isang malaking pagbabago sa tanawin ng mga banta sa cyber. Mabilis na umuunlad ang AI mula sa isang kasangkapan sa produktibidad patungo sa isang force multiplier para sa mga nakakasakit na operasyon sa cyber. Mula sa pagtuklas ng mga kahinaan sa zero-day hanggang sa pag-automate ng pag-deploy ng malware at pagpapahusay ng operational stealth, ang artificial intelligence ay pangunahing nagbabago kung paano pinaplano at isinasagawa ang mga cyberattack.
Habang patuloy na umuunlad ang mga kakayahan sa cyber na pinapagana ng AI, ang mga organisasyon ay nahaharap sa isang hinaharap kung saan ang mga pag-atake ay nagiging mas mabilis, mas madaling umangkop, at lalong mahirap matukoy bago pa man magkaroon ng pinsala.
