Google Threat Intelligence: Penemuan dan Eksploitasi Zero-Day Pertama yang Dibantu AI dalam Produksi

Google's Threat Intelligence Group (GTIG) mengungkapkan kasus pertama yang diketahui di mana penjahat siber menggunakan AI untuk menemukan dan membuat senjata kerentanan zero-day yang sebelumnya tidak diketahui. Beberapa 'aktor ancaman kejahatan siber terkemuka' bermitra untuk mengidentifikasi bug dalam skrip Python yang memungkinkan melewati otentikasi dua faktor (2FA) pada sistem open-source populer. Kelompok-kelompok ini kemudian menggunakan kode berbantuan AI untuk membuat senjata dari kerentanan tersebut. Kerentanan ini berhasil dicegah sebelum eksploitasi produksi, dan Google mengungkapkannya kepada vendor.

Serangan menargetkan asumsi kepercayaan tersembunyi dalam logika login perangkat lunak, memanfaatkan kemampuan AI untuk bernalar tentang kelemahan perilaku halus yang sering kali gagal dideteksi oleh alat keamanan konvensional. Rantai serangan: (1) AI mengidentifikasi bypass otentikasi, (2) AI menghasilkan kode eksploitasi yang dibuat menjadi senjata, (3) penyerang menerapkan terhadap sistem produksi.

Sistem open-source populer yang tidak dinamai (berbasis skrip Python). Selain itu, Google mengidentifikasi: (1) APT45 (kelompok militer Korea Utara) menggunakan AI untuk menguji dan memvalidasi ribuan muatan eksploitasi, (2) Malware bernama 'PromptSpy' menggunakan Gemini untuk secara otonomi menavigasi perangkat Android dan menghasilkan perintah kontrol secara real-time.

Segera: Asumsikan aktor ancaman sekarang dapat menghasilkan eksploitasi zero-day dari model AI dalam waktu hampir real-time (Google memperkirakan ~30 menit dari pengungkapan patch hingga eksploitasi yang berfungsi). Organisasi harus: (1) mengadopsi penemuan kerentanan berbantuan AI (melalui Daybreak, Mythos, atau setara) untuk menemukan kelemahan sebelum penyerang, (2) mengurangi jendela pengungkapan dari 90 hari menjadi 30 hari jika memungkinkan, (3) menerapkan patching berkelanjutan dan infrastruktur immutable untuk mengurangi waktu tinggal pasca-eksploitasi, (4) asumsikan bypass 2FA sekarang adalah jalur serangan komoditas dan tambahkan faktor otentikasi tambahan (FIDO2, token hardware).