Google: хакеры в начальный раз использовали ИИ для создания уязвимости нулевого дня

Google объявила о том, что киберпреступники в первый раз использовали уязвимость нулевого дня, предположительно, разработанную искусственным интеллектом.

Это объявление появилось на фоне того, как крупные компании, занимающиеся ИИ, в том числе Anthropic и OpenAI, стартовали тестирование новых моделей, способных находить и применять критически важные уязвимости программного обеспечения лучше, чем большинство людей.

Исследователи Google Threat Intelligence Group подробно описали событие. Уязвимости нулевого дня считаются наиболее серьёзным типом, поскольку они не обнаруживаются компаниями, занимающимися безопасностью, и для них нет известных способов устранения.

В отчёте отмечается, что это начальный случай, когда Google обнаружила доказательства использования ИИ для разработки таких уязвимостей.

Google пришла к выводу, что схема Claude Mythos от Anthropic — которая уже обнаружила тысячи багов во всех основных операционных системах и веб-браузерах — скорее всего, не использовалась для разработки конкретно этой уязвимости.

Google сообщила о своих выводах неназванной компании, затронутой уязвимостью, прежде чем опубликовать свой отчёт. Затем эта компания выпустила патч для исправления проблемы.

Джон Халтквист, основной аналитик Google Threat Intelligence Group, объявил, что гонка за использованием ИИ для поиска сетевых уязвимостей «уже началась».

«На каждую уязвимость нулевого дня, которую мы можем отследить до ИИ, вероятно, приходится гораздо больше. Злоумышленники используют ИИ для повышения скорости, масштаба и сложности своих атак», — сказал он.

В последние месяцы исследователи угроз наблюдают, как хакеры всё чаще используют ИИ для усиления своих атак. В ноябре Anthropic заявила, что поддерживаемые КНР киберпрступники впервые целиком автоматизировали свои атаки. Добавление сверхсовременных моделей ИИ усилило опасения, что эта техника вскоре может быть использована преступниками для поиска и осуществления кибератак в невиданном масштабе. Anthropic и OpenAI до сих пор разрешили тестировать свои модели ИИ лишь небольшой группе исследователей, технологических компаний и правительственных учреждений.

«Поэтапный версия фактически был призван создать то, что мы называем преимуществом защитников, и мы считаем, что этот период составляет некоторое количество месяцев, а не лет», — объявил на прошлой неделе на выставке AI+Expo в Вашингтоне Роб Бэр, глава отдела киберполитики Anthropic.

Ранее сообщалось, что администрация президента Дональда Трампа рассматривает введение механизма государственной проверки новых моделей ИИ до их публичного запуска. Речь идёт о возможном указе, который создаст специальную рабочую группу с участием чиновников и представителей технологических компаний. Такая группа должна будет выработать процедуры оценки рисков, связанных с выпуском продвинутых ИИ‑систем. Источники утверждают, что представители администрации уже провели встречи с крупнейшими игроками рынка, в том числе OpenAI, Google и Anthropic, где обсуждались возможные параметры регулирования.