Представители Google зафиксировали первую кибератаку с использованием нейросетей / Фото: Unsplash / Pawel Czerwinski
Киберпреступники впервые использовали искусственный интеллект для создания инструмента взлома, использующего уязвимость «нулевого дня», и попытки масштабной атаки на корпоративные сети, заявил Google. В компании предупредили, что ИИ начинает играть все более самостоятельную роль в кибератаках, превращаясь из вспомогательного инструмента в активного участника.
Детали
Группа анализа угроз Google (Google Threat Intelligence Group, GTIG) опубликовала 11 мая доклад, в котором впервые сообщила об использовании ИИ при создании эксплойта (то есть программы или скрипта) для обхода уязвимости «нулевого дня». Такими уязвимостями называют вновь выявленные дефекты, неизвестные создателям кода и не имеющие готового исправления (у разработчиков буквально «ноль дней» на подготовку защиты).
Как заявила GTIG, есть «высокая степень уверенности», что она зафиксировала и предотвратила попытку хакеров спланировать «операцию по массовой эксплуатации уязвимостей» с помощью ИИ-модели. Злоумышленники применили ее для поиска бреши в инструменте удаленного администрирования серверов, а затем — для обхода многофакторной аутентификации.
Google уведомил пострадавшую компанию до публикации доклада. Разработчик успел выпустить патч, прежде чем был нанесен ущерб. Названия киберпреступной группировки, затронутого ПО и примененной нейросети технологический гигант не раскрыл. «С большой долей вероятности» эксплойт не был создан с помощью модели Anthropic Mythos или Google Gemini, сообщила компания.
Каков масштаб?
В отчете говорится, что хакеры начинают передавать часть операций искусственному интеллекту: ИИ-инструменты вроде OpenClaw используются для поиска уязвимостей, анализа целей, генерации вредоносного кода и принятия решений с минимальным вовлечением человека. Исследователи Google считают это ранним этапом перехода к более автономным кибератакам, где ИИ-модели выступают не вспомогательным инструментом, а полноценным участником.
Google также рассказал, что связанные с государствами хакерские группы из Китая, России и Северной Кореи уже экспериментируют с интеграцией ИИ непосредственно в процессы проведения атак. В частности, российские группы, по данным GTIG, пытались использовать ИИ-модели против украинских сетей, а северокорейская группировка APT45 применяла ИИ для масштабирования своих операций, указано в докладе.
Гонка за использование ИИ для выявления сетевых уязвимостей «уже началась», считает главный аналитик GTIG Джон Халтквист, которого цитирует Politico. «Злоумышленники используют ИИ для повышения скорости, масштаба и сложности своих атак», — сказал он. Выявленные бреши являются лишь «вершиной айсберга», цитирует аналитика Reuters.
Появление сверхмощных ИИ-моделей усилило опасения, что технология вскоре может быть использована преступниками для проведения кибератак беспрецедентного масштаба. Пока Anthropic и OpenAI разрешили тестировать свои новейшие модели лишь ограниченному кругу исследователей, технологических компаний и государственных ведомств, напоминает Politico. Anthropic, к примеру, отказался от публичного релиза модели Mythos, сославшись именно на опасения того, что враждебные структуры смогут использовать ее для выявления и эксплуатации уязвимостей в ПО.
«Поэтапный релиз [мощных ИИ-моделей] нужен для создания того, что мы называем преимуществом защитников, и, как мы считаем, это окно измеряется месяцами, а не годами», — приводит Politico заявление главы киберполитики Anthropic Роба Бэра.