Google-ის განცხადებით, მათ პირველად აღმოაჩინეს და შეაჩერეს AI-ის გამოყენებით შემუშავებული zero-day ექსპლოიტი. Google Threat Intelligence Group (GTIG)-ის ანგარიშის მიხედვით, კიბერკრიმინალები გეგმავდნენ მოწყვლადობის გამოყენებას მასშტაბური შეტევისთვის, რაც მათ საშუალებას მისცემდა აეარათ გვერდი ორფაქტორიანი ავთენტიფიკაციისთვის (2FA) ერთ-ერთ ღია კოდის მქონე ვებ-სისტემის ადმინისტრირების ინსტრუმენტში.
მკვლევარებმა Python სკრიპტში იპოვეს მინიშნებები, რომლებიც AI-ის ჩართულობაზე მიუთითებდა. მათ შორის იყო "ჰალუცინირებული CVSS ქულა" და "სტრუქტურირებული, სახელმძღვანელოს სტილის" ფორმატირება, რაც LLM-ის სატრენინგო მონაცემებისთვისაა დამახასიათებელი. ექსპლოიტი იყენებს პლატფორმის 2FA სისტემის ლოგიკურ ხარვეზს. ეს შემთხვევა ხაზს უსვამს კიბერუსაფრთხოებაზე ორიენტირებული AI მოდელების (როგორიცაა Anthropic-ის Mythos) შესაძლებლობებთან დაკავშირებულ მზარდ რისკებს.
მიუხედავად იმისა, რომ Google პირველად წააწყდა მსგავს შეტევაში AI-ის ჩართულობის მტკიცებულებას, მკვლევარები ხაზგასმით აღნიშნავენ, რომ Gemini არ ყოფილა გამოყენებული. Google-მა შეძლო ამ კონკრეტული ექსპლოიტის შეჩერება, თუმცა კომპანია აფრთხილებს ტექნოლოგიურ საზოგადოებას, რომ ჰაკერები სულ უფრო ხშირად იყენებენ AI-ს უსაფრთხოების ხარვეზების საპოვნელად. გარდა ამისა, თავად AI სისტემებიც ხდება თავდამსხმელების სამიზნე — განსაკუთრებით კი ის კომპონენტები, რომლებიც უზრუნველყოფენ მის ფუნქციონირებას, როგორიცაა ავტონომიური უნარები და მესამე მხარის მონაცემთა კონექტორები (API).
ანგარიშში ასევე საუბარია იმაზე, თუ როგორ იყენებენ ჰაკერები სპეციფიკურ prompt-ებს (ე.წ. jailbreaking), რათა AI-ს უსაფრთხოების ხარვეზების მოძიება დაავალონ. ისინი ასევე აწვდიან AI მოდელებს მოწყვლადობების მონაცემთა ბაზებს და იყენებენ OpenClaw-ს, რაც მიუთითებს მათ მიზანზე, განავითარონ AI-ის მიერ გენერირებული კოდები კონტროლირებად გარემოში და გაზარდონ ექსპლოიტის ეფექტურობა მის რეალურ გამოყენებამდე.
წყარო: theverge.com
