Google, saldırganların iki faktörlü kimlik doğrulamayı atlatabilen bir zero-day açığı oluşturmak için yapay zeka kullandığını doğruladı. Şirketin güvenlik ekibi tarafından yapılan açıklama, yapay zekanın daha önce bilinmeyen bir güvenlik açığı oluşturmak için doğrudan kullanıldığı ilk belgelenmiş vakalardan birini işaret ediyor.
Yapay zeka destekli saldırı
Araştırmacılar, açığın açıklanmayan bir sistemdeki bir kusuru hedef aldığını söyledi. Geleneksel hackleme yöntemlerinin aksine, saldırganlar mevcut savunmaları aşan ve 2FA mekanizmalarını kandıran kod üretmek için makine öğrenimi modellerinden yararlanmış görünüyor. Google, hangi kimlik doğrulama ürünlerinin etkilendiğini veya kaç kullanıcının etkilenmiş olabileceğini belirtmedi.
İki faktörlü kimlik doğrulama, yaygın olarak kritik bir güvenlik katmanı olarak kabul edilir. Genellikle telefona gönderilen veya bir uygulama tarafından oluşturulan bir kod olan ikinci bir doğrulama adımı gerektirerek, parolayı çalan davetsiz misafirleri durdurması amaçlanır. Bu açık, bu korumayı işe yaramaz hale getirdi.
Google'ın yaptıkları
Şirket, güvenlik açığını yamadığını ve benzer girişimleri izlediğini söyledi. Taklit saldırı riskini gerekçe göstererek teknik detayları paylaşmadı. Google içindeki güvenlik ekipleri, modelin nasıl eğitildiğini ve hangi verileri kullandığını anlamak için yapay zeka tarafından oluşturulan kodu analiz ediyor.
Bu doğrulama, güvenlik sektörünün yapay zeka kaynaklı tehditlerin hızlı evrimiyle boğuştuğu bir dönemde geldi. Savunmacılar yıllardır makine öğrenimini kullanırken, bu olay saldırganların zayıflıkları bulmak ve istismar etmek için aynı araçları her zamankinden daha hızlı benimsediğini gösteriyor.
Cevapsız sorular
Bilgisayar korsanlarının devlet destekli mi yoksa bir suç grubunun parçası mı olduğu bilinmiyor. Google, açığın ne zaman keşfedildiğini veya ne kadar süredir aktif olduğunu söylemeyi reddetti. Şirket ayrıca herhangi bir müşteri verisinin çalınıp çalınmadığını da belirtmedi.
Bu vaka daha geniş bir soruyu gündeme getiriyor: Halihazırda tespit edilmemiş kaç benzer yapay zeka kaynaklı açık var? Şimdilik, güvenlik ekipleri makine hızında evrilebilen bir tehdide yetişmeye çalışıyor.
