Google: Første kendte AI‑genererede 0-dagsudnyttelse fundet

Google har identificeret, hvad den selv vurderer som den første kendte 0-dagsudnyttelse, der er udviklet ved hjælp af kunstig intelligens. Oplysningerne fremgår af en ny rapport om brugen af AI i cybertrusselslandskabet, baseret på data fra Gemini, Google Threat Intelligence Group (GTIG) og Mandiant. Det skriver Security Week.

Ifølge Google er udnyttelsen udviklet af en fremtrædende cyberkriminel gruppe og designet til at omgå to‑faktor‑autentifikation (2FA) i et open source, webbaseret systemadministrationsværktøj. Exploitten var implementeret som et Python‑script.

Den konkrete trusselsaktør og det berørte værktøj har ikke fået navn. Google oplyser, at man har samarbejdet med leverandøren for at forhindre udbredt udnyttelse af sårbarheden.

Indikationer på AI‑assisteret udvikling

Google oplyser, at man med høj grad af sikkerhed vurderer, at en AI‑model er blevet anvendt i både opdagelsen og udviklingen af exploitten. Vurderingen er baseret på analyse af kodens struktur og indhold, ikke på direkte observation af brugen af Googles egne AI‑modeller. Ifølge Google er der ikke indikationer på, at Gemini er blevet anvendt.

Exploit‑scriptet indeholdt blandt andet:

• Et stort antal forklarende docstrings med undervisningspræg
• En CVSS‑score, som ifølge Google ikke svarer til en reel vurdering
• En meget struktureret Python‑kode med omfattende hjælpefunktioner
• Dokumentation og hjælpeklasser, som Google beskriver som karakteristiske for LLM‑genereret kode

Disse elementer indgik i grundlaget for vurderingen af, at AI har været anvendt som støtte i exploit‑udviklingen.

Observationer af statslige trusselsaktører

Googles rapport beskriver samtidig en række observationer af statslige trusselsaktørers anvendelse af AI i offensive cyberoperationer.

Blandt de nævnte eksempler er:

• En Kina‑linket aktør, der anvendte agentiske værktøjer som Strix og Hexstrike i angreb mod en japansk teknologivirksomhed og et større østasiatisk cybersikkerhedsfirma.
• Gruppen UNC2814, som anvendte persona‑baserede jailbreaks, hvor AI‑modeller blev instrueret til at agere som sikkerhedsrevisorer i forbindelse med sårbarhedsanalyse af embedded enheder og firmware, herunder TP‑Link‑udstyr.
• Den nordkoreanske gruppe APT45, der ifølge Google anvendte store mængder gentagne prompts til analyse af CVE’er og validering af proof‑of‑concept‑exploits.

Google oplyser, at rapporten også dækker observationer relateret til autonome malware‑operationer, AI‑understøttet forsvarsomgåelse, supply chain‑angreb og trusselsaktørers interesse i adgang til avancerede sprogmodeller.