何が起きたか
5月11日、Googleの脅威インテリジェンスグループ(GTIG)は、AIモデルを使用して開発されたゼロデイエクスプロイト(名前のないオープンソースウェブベースシステム管理ツール上の2FAバイパス)を特定して破壊したことを明らかにした。Pythonスクリプトはゼロデイエクスプロイト(名前のないオープンソースウェブベースシステム管理ツール上の2FAバイパス)を特定して破壊したことを明らかにした。PythonスクリプトはLLM生成の特徴を示していた:教育的なドキストリング、幻覚CVSS スコア、構造化されたPythonic形式、詳細なヘルプメニュー、およびANSIカラークラス。エクスプロイトは対象ツールの2FAロジックのハードコードされた信頼の仮定をターゲットにしており、これはLLMが発見に優れた高レベルのセマンティック欠陥である。GTIGは高い信頼度でAIモデル(Google GeminiまたはAnthropicのClaudeではない)が発見と武装化を促進するために武装化されたと評価した。
なぜ重要か
これはAIで開発された最初に確認された野生環境のゼロデイである。これは数年の研究警告を実装している:敵はAI支援の脆弱性発見の圧縮されたタイムラインを持つようになった。エクスプロイトはメモリ破損ではなくロジック欠陥をターゲットにしており、フロンティアLLMが休止しているセマンティック脆弱性を表面化させるのに十分な文脈推論能力を持つことを示唆している。John Hultquist(Googleのチーフ脅威インテリジェンスアナリスト)は以下のように述べた:「それはここにある。AI駆動の脆弱性と搾取の時代は既にここにある。」犯罪行為者はランサムウェア/恐喝レースにおけるAIのスピードアドバンテージから最も利益を得ている。
適用範囲
ウェブベースシステム管理ツールをホストしているすべてのエンタープライズは、攻撃面が圧縮されていることを想定すべきである。かつて数週間要した修正タイムラインは、現在、数時間から数日の脅威ウィンドウに直面している。CISOは以下を行うべきである:(1)敵がインフラストラクチャのゼロデイを発見するためにAIを使用すると想定する;(2)修正配備とインシデント対応のタイムラインを加速させる;(3)CISA KEVカタログを監視してAI支援で開発されたゼロデイを探す(増加が予想される);(4)AI支援の脆弱性発見を含むようにレッドチーム演習を拡大する;(5)認証および認可制御の仮定ベースのロジックを強化する。