A Google confirmou que atacantes usaram inteligência artificial para criar um exploit de dia zero capaz de burlar a autenticação de dois fatores. A revelação, feita pela equipe de segurança da empresa, marca um dos primeiros casos documentados em que a IA foi diretamente empregada para construir uma vulnerabilidade até então desconhecida.
O ataque orientado por IA
Os investigadores afirmaram que o exploit explorava uma falha em um sistema não divulgado. Diferentemente dos métodos tradicionais de hacking, os atacantes aparentemente utilizaram modelos de aprendizado de máquina para gerar código que evadiu as defesas existentes e enganou os mecanismos de 2FA. A Google não especificou quais produtos de autenticação foram afetados nem quantos usuários podem ter sido impactados.
A autenticação de dois fatores é amplamente considerada uma camada crítica de segurança. Ao exigir uma segunda etapa de verificação — geralmente um código enviado ao telefone ou gerado por um aplicativo —, ela tem o objetivo de impedir intrusos que tenham roubado uma senha. Esse exploit tornou essa proteção inútil.
O que a Google está fazendo
A empresa afirmou que corrigiu a vulnerabilidade e está monitorando tentativas semelhantes. Não divulgou detalhes técnicos, citando o risco de ataques imitadores. As equipes de segurança internas da Google estão agora analisando o código gerado por IA para entender como o modelo foi treinado e quais dados ele utilizou.
A confirmação ocorre em meio à rápida evolução das ameaças impulsionadas por IA no setor de segurança. Embora os defensores usem aprendizado de máquina há anos, este incidente mostra que os atacantes estão adotando as mesmas ferramentas para encontrar e explorar vulnerabilidades mais rapidamente do que antes.
Perguntas sem resposta
Não se sabe se os hackers eram patrocinados por um Estado ou faziam parte de um grupo criminoso. A Google se recusou a informar quando o exploit foi descoberto ou por quanto tempo esteve ativo. A empresa também não disse se algum dado de cliente foi roubado.
O caso levanta uma questão mais ampla: quantos exploits semelhantes gerados por IA já estão por aí, sem serem detectados? Por enquanto, as equipes de segurança ficam tentando alcançar uma ameaça que pode evoluir na velocidade das máquinas.
