Google зафиксировал первый в мире zero-day эксплойт, созданный с помощью ИИ

Вопрос, который каждый руководитель платформы с open source стеком администрирования в продакшене должен задать своему CISO на этой неделе, звучит не так: «Меняет ли ИИ модель угроз?» — а так: «Учитывает ли текущий бюджет на уязвимости, что атакующие работают со скоростью человека?» Google теперь говорит, что это допущение устарело. Известная киберпреступная группировка использовала ИИ-модель для создания работающего zero-day эксплойта, и единственная причина, по которой он не вышел на массовый рынок, — Google успел предупредить вендора первым.

Что произошло

В понедельник Google опубликовал доклад команд Gemini, Google Threat Intelligence Group (GTIG) и Mandiant, в котором суммируется, как злоумышленники используют ИИ в реальных операциях. Главная находка, как сообщил SecurityWeek, состоит в том, что Google впервые идентифицировал zero-day эксплойт, разработанный, по его убеждению, с применением ИИ.

Целью атаки стал неназванный open source веб-инструмент системного администрирования. Полезной нагрузкой служил Python-скрипт, предназначенный для обхода двухфакторной аутентификации. Злоумышленник, также неназванный, по всей видимости, готовился к массовой эксплуатации до того, как Google вмешался и предупредил вендора.

Google был осторожен в своих атрибуциях. «Хотя мы не считаем, что использовался Gemini, основываясь на структуре и содержании этих эксплойтов, мы с высокой степенью уверенности полагаем, что злоумышленник, вероятно, использовал ИИ-модель для обнаружения и вооружения этой уязвимости», — написала компания. Признаками стали стилистические особенности: «скрипт содержит обилие образовательных докстрингов, включая галлюцинированный CVSS-балл, и использует структурированный, учебный Pythonic-формат, крайне характерный для обучающих данных LLM (например, подробные справочные меню и чистый класс _C ANSI color)».

Это не единственный факт в докладе. Значительное место занимают группировки, связанные с Китаем и Северной Кореей. Связанный с Китаем актор применял агентные инструменты Strix и Hexstrike в атаках на японскую технологическую компанию и крупную восточноазиатскую компанию в области кибербезопасности. Китайская группа UNC2814, известная атаками на телекоммуникационные и государственные структуры, использовала jailbreak на основе персонажа, при котором модели давалось указание действовать как старший аудитор безопасности, после чего её направляли на прошивку TP-Link с реализациями OFTP. APT45 из Северной Кореи рассылала тысячи повторяющихся запросов для рекурсивного анализа CVE и валидации PoC-эксплойтов, формируя то, что Google называет «более солидным арсеналом эксплойт-возможностей, которым было бы непрактично управлять без помощи ИИ».

Техническая анатомия

Отложим в сторону ИИ-фрейминг и посмотрим, что реально изменилось в рабочем процессе атакующего. Обход 2FA в веб-инструменте администрирования — не новый класс уязвимостей. Интересна производственная цепочка, стоящая за этим.

Исторически вооружение обхода аутентификации проходит несколько этапов, затратных с точки зрения человеческих ресурсов: чтение исходного кода, идентификация конечного автомата для второго фактора, поиск логической ошибки или состояния гонки, написание Python-скрипта, его закалка для автономного использования против сотен или тысяч целей. Каждый этап зависит от времени квалифицированного специалиста. Криминалистическая подпись, которую описывает Google, — галлюцинированный CVSS-балл, учебные докстринги, чистый вспомогательный класс ANSI color — говорит о том, что оператор передал значительную часть этой цепочки модели. Скрипт читается как результат работы LLM, потому что он им и является — при минимальном контроле.

Jailbreak на основе персонажа от UNC2814 важен по схожей причине. Образ «старшего аудитора безопасности» позволяет оператору извлекать рассуждения, которые защитные ограждения провайдера в ином случае заблокировали бы. В сочетании со встроенной прошивкой (TP-Link OFTP) это даёт дешёвый параллельный реверс-инжиниринг бинарных блобов, ранее требовавших специалиста. Паттерн APT45 иной — менее творческий и более индустриальный: тысячи повторяющихся запросов, рекурсивный анализ CVE, автоматизированная валидация PoC. Это пакетное задание, а не взлом. Это выглядит скорее как ETL-пайплайн, нежели цепочка атаки.

Для защитников, сопоставляющих эти поведения с MITRE ATT&CK, сами техники не новы: Resource Development, Reconnaissance, Develop Capabilities. Новая — кривая затрат. Тот же оператор теперь запускает десять параллельных циклов обнаружения вместо одного. Экономика меняется с «одна хорошая уязвимость на аналитика в квартал» на «одна хорошая уязвимость на аналитика в неделю». Вот цифра, которая должна быть на доске CISO.

Кто пострадает

Первыми жертвами станут все, кто использует open source инструменты администрирования, открытые в интернет. Безымянная цель в докладе Google — классический профиль: веб-интерфейс, привилегии системного уровня, 2FA как последняя линия обороны, поддерживаемый тонкой командой волонтёров. iGaming-операторы с самостоятельно размещёнными операционными панелями, финтех-компании, запускающие консоли в стиле Rancher или Portainer, крипто-кастодианы с внутренними административными панелями за SSO и TOTP — все они вписываются в этот профиль.

Вторая группа пострадавших — все, чья модель угроз предполагала, что N-day цикл патчинга достаточен. Если паттерн APT45 обобщается, окно между публичным раскрытием CVE и вооружённым PoC стремится к нулю. SLA патчинга, написанные для 14- или 30-дневного окна, превращаются в обязательство, которое CFO в конечном итоге увидит в отчёте об инциденте.

Третья группа — сами вендоры. Google тихо сотрудничал с пострадавшим вендором для предотвращения массовой эксплуатации, и это тот вопрос о единичной экономике, который никто пока не оценивает. Кто платит за координированное раскрытие на скорости ИИ? У мейнтейнера бесплатного инструмента администрирования нет дежурного инженера по безопасности. Гипертрейдер, обнаруживший эксплойт, поглотил затраты как имиджевую функцию работы Mandiant. Эта модель не масштабируется на тысячу инструментов длинного хвоста, от которых реально зависит каждая платформенная команда.

Именно здесь юридический директор и вице-президент по инжинирингу должны провести пятнадцатиминутный разговор на этой неделе. Юридический директор хочет знать, охватывают ли SBOM компании и вопросники по безопасности вендоров open source инструменты администрирования вообще, или закупки проверяют только коммерческих вендоров. Вице-президент по инжинирингу хочет знать, у каких из этих инструментов есть платный уровень поддержки с реагированием на безопасность, и во сколько обойдётся перевод критичных на него до следующего квартального обновления для совета директоров.

План действий для команд безопасности

Три конкретных шага на ближайшие 30 дней.

Первое — инвентаризация административного уровня. Каждый веб-инструмент системного администрирования со страницей входа, доступной из корпоративной сети, с указанием реализации 2FA. Если 2FA обеспечивается через плагин или самописное middleware, а не через фреймворк, — эскалируйте это. Эксплойт Google был нацелен именно на этот шов.

Второе — измените модель SLA патчинга с «календарных дней после CVE» на «часы после сигнала об эксплойте». Подключите фид CISA KEV к дежурной ротации, если этого ещё не сделано, и добавьте уровень для любого CVE, затрагивающего инструментарий из вышеупомянутого инвентаря администрирования. Паттерн рекурсивной валидации PoC от APT45 означает, что публичный CVE теперь — стартовый выстрел, а не исходные данные для планирования.

Третье — усильте защиту против паттерна агентной разведки, продемонстрированного UNC2814. Встроенные прошивки, сетевые устройства и граничные устройства теперь входят в сферу дешёвого реверс-инжиниринга. Если периметр всё ещё включает потребительские роутеры, офисные коммутаторы с прошивкой прошлого десятилетия или IoT-мосты, которые никто не патчит, — они теперь первоклассные активы в модели угроз. Перенесите их за управляемый шлюз или замените. Математика «строить против покупать» изменилась, потому что затраты атакующего на разработку только что снизились.

Одно организационное замечание. Рынок найма специалистов по наступательной безопасности, понимающих LLM-инструментарий, вот-вот резко ужесточится. Команды, которые дождутся четвёртого квартала для восполнения кадров, заплатят на 30–50 процентов выше текущих вилок. Начните разговоры об удержании сотрудников прямо сейчас.

Ключевые выводы

• Доклад Google фиксирует первый случай, когда компания публично идентифицировала zero-day эксплойт, приписываемый разработке с помощью ИИ, нацеленный на обход 2FA в open source инструменте администрирования.
• Криминалистическими признаками стали стилистические особенности — галлюцинированные CVSS-баллы и учебная Pythonic-структура, — а не новый класс уязвимостей. Изменилась кривая затрат на вооружение.
• Связанные с государством акторы, включая UNC2814 и APT45, уже проводят масштабные исследования уязвимостей с применением ИИ, используя jailbreak персонажей и рекурсивную валидацию PoC.
• Команды, использующие open source инструменты администрирования с доступными из интернета страницами входа, подвергаются немедленному риску. SLA патчинга, рассчитанные на окна 14–30 дней, теперь слишком медленные.
• Руководители платформ, оценивающие следующее инфраструктурное решение, должны теперь спрашивать: у каких критичных open source зависимостей есть финансируемый путь реагирования на безопасность, и во сколько обойдётся перевод остальных на него до конца года?