Google ha confermato che degli aggressori hanno utilizzato l'intelligenza artificiale per creare un exploit zero-day in grado di bypassare l'autenticazione a due fattori. La rivelazione, fatta dal team di sicurezza dell'azienda, rappresenta uno dei primi casi documentati in cui l'IA è stata impiegata direttamente per costruire una vulnerabilità precedentemente sconosciuta.
L'attacco guidato dall'IA
Gli investigatori hanno dichiarato che l'exploit ha preso di mira un difetto in un sistema non specificato. A differenza dei metodi di hacking tradizionali, gli aggressori sembrano aver sfruttato modelli di machine learning per generare codice che ha eluso le difese esistenti e ingannato i meccanismi di 2FA. Google non ha specificato quali prodotti di autenticazione siano stati interessati né quanti utenti potrebbero essere stati colpiti.
L'autenticazione a due fattori è ampiamente considerata un livello di sicurezza fondamentale. Richiedendo un secondo passaggio di verifica — spesso un codice inviato al telefono o generato da un'app — dovrebbe impedire l'accesso a intrusi che hanno rubato una password. Questo exploit ha reso tale protezione inutile.
Cosa sta facendo Google
L'azienda ha dichiarato di aver corretto la vulnerabilità e di monitorare tentativi simili. Non ha rilasciato dettagli tecnici, citando il rischio di attacchi imitativi. I team di sicurezza all'interno di Google stanno ora analizzando il codice generato dall'IA per capire come sia stato addestrato il modello e quali dati abbia utilizzato.
La conferma arriva mentre il settore della sicurezza affronta la rapida evoluzione delle minacce guidate dall'IA. Mentre i difensori utilizzano il machine learning da anni, questo incidente mostra che gli aggressori stanno adottando gli stessi strumenti per trovare e sfruttare le debolezze più velocemente di prima.
Domande senza risposta
Non è noto se gli hacker fossero sponsorizzati da uno stato o facessero parte di un gruppo criminale. Google ha rifiutato di dire quando l'exploit è stato scoperto o per quanto tempo è stato attivo. L'azienda non ha nemmeno dichiarato se siano stati rubati dati dei clienti.
Il caso solleva una domanda più ampia: quanti exploit simili generati dall'IA sono già là fuori, non rilevati? Per ora, i team di sicurezza devono rincorrere una minaccia che può evolversi alla velocità delle macchine.
