Grupul de Informații privind Amenințările Google (GTIG) a publicat un raport alarmant pe 11 mai: hackeri sponsorizați de state și actori criminali folosesc acum inteligența artificială la scară industrială. Pentru prima dată, grupul a identificat o exploatare de tip zero-day despre care crede că a fost dezvoltată cu ajutorul IA. Iar un nou malware numit PROMPTSPY poate monitoriza fluxul de autentificare și poate ocoli autentificarea cu doi factori în timp real. Mesajul pentru utilizatorii de criptomonede este clar — autentificarea standard cu doi factori nu mai este suficientă.
Prima exploatare zero-day asistată de IA
GTIG afirmă că a identificat un actor amenințător care folosea o exploatare zero-day construită aproape sigur cu ajutorul IA generativă. Exploatarea era planificată pentru un eveniment de exploatare în masă, dar o descoperire proactivă contrară ar fi putut împiedica implementarea acesteia. Raportul nu numește vulnerabilitatea specifică sau actorul din spate, dar marchează un punct de cotitură. În februarie 2026, GTIG descria activitatea adversă asistată de IA ca fiind incipientă și experimentală. Acum, evaluarea este că modelele generative sunt integrate în fluxurile de lucru ofensive la scară largă.
PROMPTSPY: Malware care monitorizează autentificarea
Raportul detaliază o capacitate numită PROMPTSPY — malware activat prin IA care interpretează dinamic stările sistemului și generează comenzi în timp real pentru a manipula mediile victimelor. Printre cele mai alarmante caracteristici: abilitatea de a efectua atacuri de sincronizare împotriva autentificării cu doi factori bazate pe SMS sau aplicații în timpul sesiunilor live. Asta înseamnă că un utilizator ar putea introduce un cod 2FA, iar malware-ul interceptează sau deturnează sesiunea înainte ca codul să ajungă la serviciul destinat. Malware-ul polimorf care se rescrie singur pentru a evita detectarea a fost, de asemenea, legat de actori amenințători suspectați a fi conectați la Rusia.
De ce autentificarea standard cu doi factori nu este suficientă
Constatarea GTIG contestă direct presupunerea că un cod unic sau o notificare push oferă securitate adecvată. Dacă malware-ul poate observa și răspunde la fluxurile de autentificare pe măsură ce au loc, al doilea factor devine o vulnerabilitate, nu un scut. Raportul recomandă chei de securitate hardware, dispozitive de semnare izolate și arhitecturi de portofel multi-semnătură pentru utilizatorii de criptomonede. Aceste metode nu se bazează pe un cod observabil în rețea care poate fi interceptat în timp real.
Raportul mai notează că actorii asociați cu China și Coreea de Nord au arătat un interes semnificativ în utilizarea IA pentru descoperirea vulnerabilităților. Asta sugerează că fluxul de exploatări zero-day se va accelera probabil. Pentru oricine deține criptomonede sau gestionează conturi sensibile, fereastra pentru a face upgrade de la autentificarea cu doi factori bazată pe SMS tocmai s-a scurtat considerabil.
