Google heeft bevestigd dat aanvallers kunstmatige intelligentie hebben gebruikt om een zero-day-exploit te maken die tweefactorauthenticatie kan omzeilen. De onthulling, gedaan door het beveiligingsteam van het bedrijf, is een van de eerste gedocumenteerde gevallen waarin AI direct is ingezet om een voorheen onbekende kwetsbaarheid te bouwen.
De AI-gestuurde aanval
Onderzoekers zeiden dat de exploit een fout in een niet nader genoemd systeem targette. In tegenstelling tot traditionele hackmethoden lijken de aanvallers machine learning-modellen te hebben gebruikt om code te genereren die bestaande verdedigingsmechanismen omzeilde en 2FA-mechanismen wist te misleiden. Google gaf niet aan welke authenticatieproducten zijn getroffen of hoeveel gebruikers mogelijk zijn geraakt.
Tweefactorauthenticatie wordt algemeen beschouwd als een cruciale beveiligingslaag. Door een tweede verificatiestap te vereisen – vaak een code die naar een telefoon wordt gestuurd of door een app wordt gegenereerd – is het bedoeld om indringers te stoppen die een wachtwoord hebben gestolen. Deze exploit maakte die bescherming nutteloos.
Wat Google doet
Het bedrijf zegt dat het de kwetsbaarheid heeft gepatcht en vergelijkbare pogingen in de gaten houdt. Het heeft geen technische details vrijgegeven, vanwege het risico op kopieeraanvallen. Beveiligingsteams binnen Google analyseren nu de AI-gegenereerde code om te begrijpen hoe het model is getraind en welke gegevens het heeft gebruikt.
De bevestiging komt terwijl de beveiligingsindustrie worstelt met de snelle evolutie van AI-gestuurde dreigingen. Hoewel verdedigers al jaren machine learning gebruiken, laat dit incident zien dat aanvallers dezelfde tools overnemen om zwakheden sneller dan ooit te vinden en uit te buiten.
Onbeantwoorde vragen
Het is niet bekend of de hackers door een staat werden gesteund of deel uitmaakten van een criminele groep. Google wilde niet zeggen wanneer de exploit is ontdekt of hoe lang deze actief was geweest. Het bedrijf zei ook niet of er klantgegevens zijn gestolen.
De zaak roept een bredere vraag op: hoeveel vergelijkbare AI-gegenereerde exploits zijn er al, onopgemerkt? Voor nu moeten beveiligingsteams de achtervolging inzetten op een dreiging die zich met machinesnelheid kan ontwikkelen.
