Google Threat Intelligence: Penemuan dan Eksploitasi Zero-Day Pertama yang Dibantu AI dalam Produksi

Google's Threat Intelligence Group (GTIG) mengungkapkan kasus pertama yang diketahui di mana penjahat siber menggunakan AI untuk menemukan dan mengaktifkan kerentanan zero-day yang sebelumnya tidak diketahui. Beberapa 'aktor ancaman kejahatan siber terkemuka' bermitra untuk mengidentifikasi bug dalam skrip Python yang memungkinkan pembyasan autentikasi dua faktor (2FA) pada sistem open-source populer. Kelompok-kelompok tersebut kemudian menggunakan kode yang dibantu AI untuk mengaktifkan kerentanan. Kerentanan tersebut berhasil dicegah sebelum eksploitasi produksi, dan Google mengungkapkannya kepada vendor.

Serangan menargetkan asumsi kepercayaan tersembunyi dalam logika login perangkat lunak, memanfaatkan kemampuan AI untuk bernalar tentang kelemahan perilaku halus yang sering kali gagal dideteksi oleh alat keamanan konvensional. Rantai serangan: (1) AI mengidentifikasi bypass autentikasi, (2) AI menghasilkan kode eksploitasi yang diaktifkan, (3) penyerang menyebarkan terhadap sistem produksi.

Sistem open-source populer yang tidak dinamai (berbasis skrip Python). Selain itu, Google mengidentifikasi: (1) APT45 (kelompok militer Korea Utara) menggunakan AI untuk menguji dan memvalidasi ribuan payload eksploitasi, (2) Malware bernama 'PromptSpy' menggunakan Gemini untuk menavigasi perangkat Android secara otonom dan menghasilkan perintah kontrol secara real-time.

Segera: Asumsikan aktor ancaman sekarang dapat menghasilkan eksploitasi zero-day dari model AI dalam waktu hampir real-time (Google memperkirakan ~30 menit dari pengungkapan patch hingga eksploitasi yang berfungsi). Organisasi harus: (1) mengadopsi penemuan kerentanan yang dibantu AI (melalui Daybreak, Mythos, atau setara) untuk menemukan kerentanan sebelum penyerang, (2) mengurangi jendela pengungkapan dari 90 hari menjadi 30 hari jika memungkinkan, (3) menerapkan patching berkelanjutan dan infrastruktur yang tidak dapat diubah untuk mengurangi waktu tinggal pasca-eksploitasi, (4) asumsikan bypass 2FA sekarang merupakan jalur serangan komoditas dan tambahkan faktor autentikasi tambahan (FIDO2, token hardware).