Ai, mint eszköz
A Google Threat Intelligence Group szerint a mesterséges intelligencia már nem csupán támogató eszköz a kibervédelemben, hanem egyre aktívabb szereplője a támadási láncnak is. A fenyegető szereplők már képesek AI-modelleket felhasználni sérülékenységek felderítésére, exploitok fejlesztésére és a kezdeti hozzáférés megszerzésének felgyorsítására. A Google szerint ez lehet az első dokumentált eset, amikor egy nulladik napi sérülékenység kihasználásában mesterséges intelligencia közvetlen szerepet játszott.
A támadás egy nyílt forráskódú rendszergazdai eszközt célzott, ahol a támadók egy logikai hibát használtak ki a kétfaktoros hitelesítés megkerülésére. A Google elemzői szerint az exploitkód több olyan jellemzőt is mutatott, amely AI-alapú generálásra utalt. Ilyen volt például a túlzottan tankönyvszerű kommentelés, a nem létező CVSS-besorolás, illetve az a strukturált kódolási stílus, amelyet gyakran nagy nyelvi modellek produkálnak. A vállalat hangsúlyozta, hogy nincs bizonyíték arra, hogy saját Gemini modelljüket használták volna a művelethez, ugyanakkor az eset jól mutatja, hogy az MI-alapú exploitfejlesztés már gyakorlati realitássá vált.
A modern nyelvi modellek különösen jól teljesítenek az úgynevezett szemantikai vagy logikai hibák felismerésében. Ezek a sérülékenységek sokszor nem klasszikus programozási hibákból erednek, hanem hibás fejlesztői feltételezésekből, jogosultságkezelési anomáliákból vagy nem megfelelő bizalmi modellekből. A kutatók arra figyelmeztetnek, hogy az AI drasztikusan csökkentheti a sérülékenységkutatáshoz szükséges időt, így a nyilvános hibabejelentések és a tényleges kihasználás közötti időablak akár órákra vagy percekre szűkülhet.
A Google szerint az állami hátterű és pénzügyi motivációjú csoportok egyaránt intenzíven kísérleteznek az MI integrálásával. Kínai, orosz és észak-koreai kötődésű szereplők már jelenleg is használják a technológiát felderítésre, pszichológiai megtévesztési műveletek támogatására, malware-fejlesztésre és exploitkutatásra. A cél nem feltétlenül teljesen autonóm támadások végrehajtása, hanem a támadási lánc automatizálása és gyorsítása, amely jelentős előnyt biztosíthat a támadók számára a védelmi oldallal szemben.
A jelentés kiemeli, hogy a mesterséges intelligencia a védekező oldalon is komoly lehetőségeket kínál. Az AI-alapú elemző és automatizációs rendszerek képesek lehetnek eddig rejtett hibák gyorsabb azonosítására, sérülékenységi láncok feltérképezésére és a támadások korai felismerésére. A Google álláspontja szerint a következő évek egyik legfontosabb kiberbiztonsági kérdése az lesz, hogy a szervezetek milyen gyorsan tudják adaptálni ezeket a védelmi képességeket az egyre gyorsabban fejlődő támadói módszerekkel szemben.
