Группа угроз Google (GTIG) 11 мая опубликовала тревожный отчет: хакеры, связанные с государствами, и киберпреступники теперь массово используют ИИ в промышленных масштабах. Впервые группа обнаружила эксплойт нулевого дня, который, как считается, был разработан с помощью ИИ. А новая вредоносная программа под названием PROMPTSPY может отслеживать ваш процесс аутентификации и обходить двухфакторную аутентификацию в реальном времени. Сообщение для пользователей криптовалют однозначно: стандартной 2FA больше недостаточно.
Первый эксплойт нулевого дня с помощью ИИ
GTIG сообщает, что выявила угрозу, использующую эксплойт нулевого дня, который почти наверняка был создан с помощью генеративного ИИ. Эксплойт планировался для массовой эксплуатации, но упреждающее обнаружение, возможно, предотвратило его развертывание. В отчете не указывается конкретная уязвимость или стоящий за ней злоумышленник, но это знаменует собой поворотный момент. В феврале 2026 года GTIG описывала действия с использованием ИИ как зарождающиеся и экспериментальные. Теперь же оценка такова: генеративные модели внедряются в наступательные процессы в массовом порядке.
PROMPTSPY: вредоносное ПО, которое следит за вашей аутентификацией
В отчете подробно описывается возможность под названием PROMPTSPY — вредоносное ПО на базе ИИ, которое динамически интерпретирует системные состояния и генерирует команды в реальном времени для манипулирования средой жертвы. Среди наиболее тревожных функций: способность выполнять атаки по времени на SMS- и приложенную двухфакторную аутентификацию во время активных сеансов. Это означает, что пользователь может ввести код 2FA, а вредоносное ПО перехватывает или угоняет сеанс до того, как код достигнет целевого сервиса. Полиморфное вредоносное ПО, которое переписывает себя для уклонения от обнаружения, также было связано с подозреваемыми угрозами, связанными с Россией.
Почему стандартной 2FA недостаточно
Выводы GTIG напрямую ставят под сомнение предположение, что одноразовый код или push-уведомление обеспечивают достаточную безопасность. Если вредоносное ПО может наблюдать и реагировать на процессы аутентификации в реальном времени, второй фактор становится скорее уязвимостью, чем защитой. Отчет рекомендует пользователям криптовалют использовать аппаратные ключи безопасности, изолированные устройства для подписи и архитектуры мультисиг-кошельков. Эти методы не полагаются на наблюдаемый в сети код, который можно перехватить в реальном времени.
В отчете также отмечается, что государственные субъекты, связанные с Китаем и Северной Кореей, проявили значительный интерес к использованию ИИ для обнаружения уязвимостей. Это предполагает, что поток эксплойтов нулевого дня, вероятно, ускорится. Для всех, кто держит криптовалюту или управляет чувствительными аккаунтами, окно для перехода от SMS-2FA к более надежным методам значительно сократилось.
