Google deteta primeiro zero-day criado com IA

A Google revelou ter identificado, pela primeira vez, um exploit zero-day que acredita ter sido desenvolvido com recurso a Inteligência Artificial (IA), marcando um novo momento na evolução das ciberameaças impulsionadas por modelos generativos.

A descoberta foi divulgada num novo relatório da empresa sobre o impacto da IA no panorama de cibersegurança, baseado em dados recolhidos pelas equipas Gemini, Google Threat Intelligence Group (GTIG) e Mandiant.

Segundo a Google, o exploit foi criado por um grupo de cibercrime de relevo e tinha como objetivo contornar mecanismos de autenticação multifator (2FA) numa ferramenta open source de administração de sistemas baseada na web.

O exploit foi implementado num script em Python e, embora a empresa não tenha identificado o grupo responsável nem a ferramenta visada, afirma ter colaborado com o fornecedor afetado para impedir uma exploração em larga escala.

A Google refere ter “elevado grau de confiança” de que o atacante utilizou um modelo de IA para apoiar tanto a descoberta como a exploração da vulnerabilidade.

Entre os indícios identificados estão a estrutura do código, comentários excessivamente explicativos, menus detalhados e até uma pontuação CVSS inventada, características consideradas típicas de conteúdos gerados por grandes modelos linguísticos (LLM).

“Embora não acreditemos que o Gemini tenha sido utilizado, a estrutura e o conteúdo destes exploits indicam fortemente o recurso a IA”, refere a empresa.

O relatório revela ainda um crescente interesse de grupos estatais chineses e norte-coreanos na utilização de IA para investigação de vulnerabilidades e desenvolvimento de exploits.

Atores ligados à China terão utilizado ferramentas com agência como Strix e Hexstrike em operações contra empresas tecnológicas japonesas e organizações de cibersegurança no leste asiático.

Já o grupo UNC2814, associado a campanhas contra telecomunicações e entidades governamentais, terá recorrido a técnicas de jailbreak em IA, instruindo os modelos a comportarem-se como auditores sénior de segurança para acelerar investigação sobre firmware e dispositivos embebidos.

A Google identificou igualmente atividades do grupo norte-coreano APT45, que utilizou milhares de prompts automáticos para analisar vulnerabilidades conhecidas e validar provas de conceito de exploits.

Segundo a empresa, a IA está a permitir aos atacantes aumentar significativamente a escala e rapidez no desenvolvimento de capacidades ofensivas. O relatório aborda ainda temas como malware autónomo, evasão de defesas assistida por IA, ataques à cadeia de abastecimento e procura crescente por acesso premium a modelos de linguagem avançados.