Googles Threat Intelligence Group (GTIG) släppte en oroande rapport den 11 maj: statsanknutna hackare och kriminella aktörer använder nu AI i industriell skala. För första gången upptäckte gruppen en zero-day-exploit som man tror utvecklats med AI-hjälp. Och en ny skadlig programvara kallad PROMPTSPY kan övervaka din autentiseringsprocess och kringgå tvåfaktorsautentisering i realtid. Budskapet till kryptoanvändare är tydligt – standard-2FA räcker inte längre.
Första AI-assisterade zero-day-exploiten
GTIG uppger att man identifierat en hotaktör som använde en zero-day-exploit som nästan säkert byggts med generativ AI. Exploiten var planerad för en massutnyttjandehändelse, men proaktiv motupptäckt kan ha förhindrat att den användes. Rapporten namnger inte den specifika sårbarheten eller aktören bakom den, men det markerar en vändpunkt. I februari 2026 beskrev GTIG AI-assisterad fientlig aktivitet som ny och experimentell. Nu bedömer man att generativa modeller är inbäddade i offensiva arbetsflöden i stor skala.
PROMPTSPY: Skadlig programvara som övervakar din autentisering
Rapporten beskriver en kapacitet som kallas PROMPTSPY – AI-aktiverad skadlig programvara som dynamiskt tolkar systemtillstånd och genererar kommandon i realtid för att manipulera offermiljöer. Bland dess mest oroande funktioner: förmågan att utföra timingattacker mot SMS-baserad och app-baserad tvåfaktorsautentisering under live-sessioner. Det innebär att en användare kan ange en 2FA-kod, och den skadliga programvaran fångar upp eller kapar sessionen innan koden når den avsedda tjänsten. Polymorf skadlig programvara som skriver om sig själv för att undvika upptäckt har också kopplats till misstänkta Ryssland-relaterade hotaktörer.
Varför standard-2FA inte räcker
GTIG:s upptäckt utmanar direkt antagandet att en engångskod eller push-notis ger tillräcklig säkerhet. Om skadlig programvara kan observera och reagera på autentiseringsflöden när de sker, blir den andra faktorn en sårbarhet snarare än en sköld. Rapporten rekommenderar hårdvarusäkerhetsnycklar, luftgapade signeringsenheter och multisignaturplånboksarkitekturer för kryptoanvändare. Dessa metoder är inte beroende av en nätverksobserverbar kod som kan avlyssnas i realtid.
Rapporten noterar också att statsanknutna aktörer kopplade till Kina och Nordkorea har visat stort intresse för att använda AI för sårbarhetsupptäckt. Det tyder på att zero-day-exploit-pipelinen sannolikt kommer att accelerera. För alla som innehar krypto eller hanterar känsliga konton har tidsfönstret för att uppgradera från SMS-baserad 2FA precis blivit mycket kortare.
