Впервые хакеры использовали искусственный интеллект, чтобы обнаружить и использовать уязвимость, которую не заметил бы ни один автоматический сканер, и Google заявляет, что только её активный мониторинг предотвратил массовую атаку.
Искусственный интеллект упростил написание электронных писем, создание таблиц и планирование отпусков, о чем свидетельствует стремительно растущая популярность различных моделей ИИ.
РЕКЛАМА
РЕКЛАМА
Он также, согласно недавнему отчету Google, значительно облегчил выявление ранее неизвестных или практически непредсказуемых уязвимостей в программном обеспечении наших систем.
Группа по анализу киберугроз Google сообщила, что впервые зафиксировала, как хакеры использовали ИИ для обнаружения и эксплуатации так называемой уязвимости нулевого дня, то есть сбоя в системе безопасности, о существовании которого разработчик программы еще не знает и для которого пока не создано исправление.
Целью стал популярный веб-инструмент администрирования систем, а уязвимость позволяла злоумышленникам обходить двухфакторную аутентификацию — тот самый второй уровень защиты, который, как считают многие, обеспечивает безопасность их аккаунтов.
По данным Google, атаку удалось обнаружить до того, как ее начали применять в массовом масштабе; компания тихо предупредила разработчика ПО.
«Киберпреступная группа планировала использовать ее для массовой атаки, но наше проактивное обнаружение, возможно, не позволило этому случиться», – отмечается в отчете.
«Злоумышленники, связанные с Китайской Народной Республикой (КНР) и Корейской Народно‑Демократической Республикой (КНДР), также проявляют большой интерес к использованию ИИ для поиска уязвимостей».
Брешь, которую не заметили разработчики
Эта уязвимость нулевого дня не относится к разряду обычных ошибок. Традиционные средства сканирования безопасности ищут сбои и ошибки памяти — программный аналог проверки орфографии, которая вылавливает «цифровые опечатки». Но данная уязвимость была спрятана в логике кода, в едва заметном жестко прописанном допущении разработчика, которое ни один автоматический сканер не обнаружил бы.
Это тот тип ошибки, когда на первый взгляд все выглядит правильно, но внутренняя логика нарушена. Представьте банковское хранилище с исправным замком, которое тем не менее открывается для того, кто знает об исключении, потому что конструктор, сам того не осознавая, заложил его в систему.
Именно на такие противоречия ИИ и нацелен лучше всего. «Передовые большие языковые модели особенно эффективны в выявлении подобных высокоуровневых ошибок и жестко заданных статических аномалий», – говорится далее в отчете.
Хотя передовым LLM пока сложно разбираться в сложной системе корпоративных прав доступа, «их способность к контекстному анализу постоянно растет… и позволяет выявлять противоречия в жестко прописанных исключениях», подчеркивается в документе.
Благодаря этому модели могут выводить на поверхность скрытые логические ошибки, которые для традиционных сканеров выглядят как корректно работающий код, но с точки зрения безопасности являются уязвимыми.
Не одним приемом
Хотя уязвимость нулевого дня стала главным открытием, в целом отчет производит тревожное впечатление.
Китайские и северокорейские хакеры, действующие при поддержке государства, используют ИИ для поиска уязвимостей в промышленном масштабе, рассылая автоматические запросы, которые прощупывают слабые места во всем — от домашних роутеров до корпоративных сетей.
Google зафиксировала, как одна северокорейская группировка «отправляла тысячи однотипных запросов, которые рекурсивно анализируют различные уязвимости (CVE) и проверяют PoC‑эксплойты», формируя то, что в отчете названо «более мощным арсеналом инструментов эксплуатации, управление которым было бы практически невозможно без помощи ИИ».
Связанные с Россией группы, в свою очередь, применяют ИИ для создания вредоносных программ, которые «на лету» переписывают собственный код, чтобы ускользать от обнаружения, — ранее для этого требовалась серьезная экспертиза живых специалистов.
ИИ также меняет фишинг. Вместо того чтобы массово рассылать типовые письма, злоумышленники теперь используют ИИ, чтобы выстраивать корпоративные иерархии, выявлять конкретных сотрудников с доступом к чувствительным данным и создавать, по выражению авторов отчета, «более достоверные фишинговые приманки, адресованные людям с административными привилегиями», — они значительно превосходят «обычные приемы традиционного массового фишинга».
Google предупреждает: в целом происходит переход от использования ИИ как исследовательского инструмента к роли ИИ как своего рода активного участника противоборства в сфере безопасности.
«LLM уже не просто пассивный советчик, а активный участник наступательных операций, способный управлять сложными наборами инструментов и принимать тактические решения с машинной скоростью».
Положительный момент в том, что уязвимость нулевого дня первой заметила собственная система ИИ Google — еще до того, как она успела нанести вред. Компания сама задействует ИИ‑агентов, чтобы находить и устранять уязвимости быстрее, чем это под силу человеческим командам.