Google phát hiện lỗ hổng zero-day đầu tiên được tạo bởi AI

Google phát hiện lỗ hổng zero-day đầu tiên được tạo bởi AI

Zero-Day Exploit

Lần đầu tiên, Google đã xác định một lỗ hổng zero-day được tin là đã được phát triển bằng cách sử dụng trí tuệ nhân tạo (AI).

Vào thứ Hai vừa qua, công ty đã công bố một báo cáo mới tóm tắt các quan sát của mình về việc sử dụng AI trong bối cảnh đe dọa mạng. Báo cáo dựa trên dữ liệu được thu thập gần đây bởi Gemini, Nhóm Tình báo Mối đe dọa của Google (GTIG) và Mandiant.

Một trong những phát hiện đáng chú ý nhất là một nhóm tội phạm mạng nổi tiếng đã tận dụng AI để phát triển một khai thác zero-day được thiết kế để vượt qua xác thực hai yếu tố (2FA) trên một công cụ quản trị hệ thống dựa web mã nguồn mở. Mã khai thác này được triển khai dưới dạng một kịch bản Python.

Security

Tên của nhóm hacker và công cụ bị nhắm mục tiêu chưa được công bố, nhưng Google cho biết họ đã làm việc với nhà cung cấp bị ảnh hưởng để ngăn chặn việc khai thác quy mô lớn, dường như là kế hoạch của tác nhân đe dọa này.

"Mặc dù chúng tôi không tin rằng Gemini đã được sử dụng, nhưng dựa trên cấu trúc và nội dung của các khai thác này, chúng tôi có độ tin cậy cao rằng tác nhân có khả năng đã sử dụng một mô hình AI để hỗ trợ việc phát hiện và vũ khí hóa lỗ hổng này," Google giải thích.

Google bổ sung thêm rằng kịch bản này chứa nhiều chuỗi tài liệu giáo dục, bao gồm cả một điểm số CVSS bị ảo giác (hallucinated CVSS score), và sử dụng định dạng Pythonic có cấu trúc, giống sách giáo khoa, đặc trưng cao của dữ liệu đào tạo các Mô hình Ngôn ngữ Lớn (LLM) như các menu trợ giúp chi tiết và lớp màu ANSI _C sạch sẽ.

Google nhấn mạnh rằng các tác nhân đe dọa được nhà nước tài trợ từ Trung Quốc và Triều Tiên đã đặc biệt quan tâm đến việc tận dụng AI để phát hiện lỗ hổng.

Một tác nhân liên kết đến Trung Quốc đã được quan sát thấy đang triển khai các công cụ tác nhân (agentic tools) như Strix và Hexstrike trong các cuộc tấn công nhắm vào một công ty công nghệ Nhật Bản và một công ty an ninh mạng lớn ở Đông Á.

UNC2814, một nhóm Trung Quốc nổi tiếng với việc nhắm mục tiêu vào các tổ chức viễn thông và chính phủ, đã sử dụng một kỹ thuật jailbreak dựa trên nhân cách — trong đó AI được hướng dẫn đóng vai một kiểm toán viên bảo mật cấp cao — để nâng cao nghiên cứu lỗ hổng trên các thiết bị nhúng, bao gồm cả phần mềm gốc (firmware) TP-Link với các triển khai OFTP.

Theo Google, nhóm Triều Tiên được theo dõi dưới mã danh APT45 đã gửi hàng nghìn lời nhắc lặp đi lặp lại để phân tích đệ quy các CVE và xác minh các khai thác khái niệm (PoC).

"Điều này dẫn đến một kho vũ khí khai thác mạnh mẽ hơn mà sẽ không thực tế để quản lý nếu không có sự hỗ trợ của AI," Google cho biết trong báo cáo.

Báo cáo đầy đủ cũng bao gồm các hoạt động phần mềm độc hại tự chủ, việc né tránh bảo mật được tăng cường bởi AI, các cuộc tấn công chuỗi cung ứng và các tác nhân đe dọa đang tìm kiếm quyền truy cập cao cấp vào các LLM.