Google potwierdził, że atakujący wykorzystali sztuczną inteligencję do stworzenia exploita zero-day zdolnego do ominięcia uwierzytelniania dwuskładnikowego. Ujawnienie dokonane przez zespół ds. bezpieczeństwa firmy jest jednym z pierwszych udokumentowanych przypadków, w których AI została bezpośrednio użyta do zbudowania wcześniej nieznanej luki.
Atak z wykorzystaniem AI
Śledczy stwierdzili, że exploit celował w lukę w nieujawnionym systemie. W przeciwieństwie do tradycyjnych metod hakerskich, atakujący najwyraźniej wykorzystali modele uczenia maszynowego do wygenerowania kodu, który ominął istniejące zabezpieczenia i oszukał mechanizmy 2FA. Google nie sprecyzował, które produkty uwierzytelniające zostały dotknięte ani ilu użytkowników mogło zostać poszkodowanych.
Uwierzytelnianie dwuskładnikowe jest powszechnie uważane za kluczową warstwę bezpieczeństwa. Wymagając drugiego etapu weryfikacji – często kodu wysłanego na telefon lub wygenerowanego przez aplikację – ma powstrzymywać intruzów, którzy ukradli hasło. Ten exploit sprawił, że ochrona ta stała się bezużyteczna.
Co robi Google
Firma poinformowała, że załatała lukę i monitoruje podobne próby. Nie ujawniła szczegółów technicznych, powołując się na ryzyko ataków naśladowczych. Zespoły ds. bezpieczeństwa wewnątrz Google analizują teraz kod wygenerowany przez AI, aby zrozumieć, jak model został wytrenowany i jakie dane wykorzystał.
Potwierdzenie pojawia się w momencie, gdy branża bezpieczeństwa zmaga się z szybką ewolucją zagrożeń napędzanych przez AI. Podczas gdy obrońcy od lat używają uczenia maszynowego, ten incydent pokazuje, że atakujący przyjmują te same narzędzia, aby szybciej znajdować i wykorzystywać słabości.
Niewyjaśnione pytania
Nie wiadomo, czy hakerzy byli sponsorowani przez państwo, czy należeli do grupy przestępczej. Google odmówił podania, kiedy exploit został odkryty ani jak długo był aktywny. Firma nie powiedziała również, czy jakiekolwiek dane klientów zostały skradzione.
Sprawa rodzi szersze pytanie: ile podobnych exploitów wygenerowanych przez AI jest już na wolności, niewykrytych? Na razie zespoły ds. bezpieczeństwa muszą gonić zagrożenie, które może ewoluować z szybkością maszyny.
