O Google Threat Intelligence Group (GTIG) identificou e neutralizou, pela primeira vez, um ataque de dia zero desenvolvido com auxílio direto de inteligência artificial.
O incidente envolveu um grupo de cibercriminosos descrito pelo próprio GTIG como proeminente. O alvo era uma vulnerabilidade em uma ferramenta de administração de sistemas open-source baseada na web.
O vetor de ataque consistia em um código malicioso embutido em um script Python. O código foi projetado especificamente para contornar a autenticação de dois fatores da ferramenta visada.
Para que a exploração fosse bem-sucedida, os invasores ainda precisariam de credenciais válidas de acesso. Essa barreira adicional limitou o alcance imediato da ameaça.
Vulnerabilidades de dia zero são consideradas as mais graves na área de cibersegurança. Elas representam falhas completamente desconhecidas pelos desenvolvedores do software ou hardware afetado, deixando empresas e usuários sem qualquer janela de defesa.
O Google colaborou com o fornecedor da ferramenta para corrigir a falha. Uma atualização de segurança já está disponível.
Conforme detalhado no relatório do GTIG, o código malicioso apresentava características que apontavam para a participação de um modelo de linguagem de grande escala (LLM) em sua criação. Entre as evidências estavam docstrings educacionais — comentários explicativos inseridos automaticamente — e formatação estruturada típica de respostas de IA.
Os analistas também identificaram um score CVSS gerado de forma incorreta. Eles interpretaram o erro como uma alucinação do modelo — uma saída confiante, porém factualmente errada, produzida pela IA.
O score CVSS é uma métrica padronizada que quantifica a gravidade de vulnerabilidades de segurança em uma escala de 0 a 10. Quando um modelo de IA gera esse valor incorretamente e o insere no código com aparente autoridade, isso revela que a ferramenta foi usada para automatizar etapas técnicas do ataque sem supervisão humana rigorosa.
O Google afirmou não acreditar que seu próprio modelo Gemini tenha sido utilizado no desenvolvimento do exploit.
O relatório também destacou o interesse crescente de grupos ligados à China, à Coreia do Norte e à Rússia em explorar a IA para ampliar suas capacidades ofensivas no ciberespaço. O grupo norte-coreano APT45 foi citado nominalmente como ator estatal que passou a utilizar IA para escalar seus métodos de ataque.
Hackers russos foram registrados atacando redes ucranianas com malwares gerados por modelos de linguagem.
John Hultquist, analista-chefe do GTIG, avalia que o número real de ataques de dia zero com participação de IA pode ser consideravelmente maior do que os casos detectados até agora. Segundo ele, a tecnologia tem potencial para aumentar a velocidade, a escala e a sofisticação dos ataques cibernéticos de forma exponencial, tornando a detecção precoce cada vez mais difícil para equipes de defesa tradicionais.
Com informações de CANALTECH.
Leia também: Google intercepta primeiro ataque zero-day criado com inteligência artificial
📨 Inscreva-se na Newsletter de O Cafezinho
Receba nossas análises e as principais notícias diárias do Brasil e do Sul Global.