גוגל אישרה שתוקפים השתמשו בבינה מלאכותית כדי ליצור ניצול יום-אפס המסוגל לעקוף אימות דו-שלבי. הגילוי, שפורסם על ידי צוות האבטחה של החברה, מסמן את אחד המקרים המתועדים הראשונים שבהם נעשה שימוש ישיר בבינה מלאכותית לבניית פגיעות שלא הייתה ידועה קודם לכן.
המתקפה המונעת בבינה מלאכותית
החוקרים אמרו כי הניצול כוון לפגיעות במערכת שלא פורטה. בניגוד לשיטות פריצה מסורתיות, נראה שהתוקפים השתמשו במודלים של למידת מכונה כדי ליצור קוד שהתחמק מההגנות הקיימות והטעה מנגנוני אימות דו-שלבי. גוגל לא ציינה אילו מוצרי אימות הושפעו או כמה משתמשים עלולים להיפגע.
אימות דו-שלבי נחשב לשכבת אבטחה קריטית. על ידי דרישת שלב אימות שני — לרוב קוד שנשלח לטלפון או שנוצר על ידי אפליקציה — הוא נועד לעצור פולשים שגנבו סיסמה. ניצול זה הפך את ההגנה הזו לחסרת תועלת.
מה גוגל עושה
החברה אמרה שתיקנה את הפגיעות ועוקבת אחר ניסיונות דומים. היא לא פרסמה פרטים טכניים, בשל חשש ממתקפות חיקוי. צוותי אבטחה בתוך גוגל מנתחים כעת את הקוד שנוצר על ידי הבינה המלאכותית כדי להבין כיצד המודל אומן ובאילו נתונים השתמש.
האישור מגיע כאשר תעשיית האבטחה מתמודדת עם האבולוציה המהירה של איומים מבוססי בינה מלאכותית. בעוד שמגינים השתמשו בלמידת מכונה במשך שנים, אירוע זה מראה שתוקפים מאמצים את אותם הכלים כדי למצוא ולנצל חולשות מהר יותר מאי פעם.
שאלות ללא מענה
לא ידוע אם ההאקרים היו בחסות מדינה או חלק מקבוצת פשע. גוגל סירבה לציין מתי הניצול התגלה או כמה זמן היה פעיל. החברה גם לא אמרה אם נגנבו נתוני לקוחות כלשהם.
המקרה מעלה שאלה רחבה יותר: כמה ניצולים דומים שנוצרו על ידי בינה מלאכותית כבר קיימים, ללא זיהוי? לעת עתה, צוותי האבטחה נאלצים להדביק את הפער מול איום שיכול להתפתח במהירות מכונה.
