Google Зафіксував Перший Zero-Day, Створений за Допомогою ШІ

Питання, яке кожен керівник платформи з open source адмін-стеком у продакшені має поставити своєму CISO цього тижня, — не те, чи змінює ШІ модель загроз, а те, чи враховує поточний бюджет на вразливості атаки на людській швидкості. Google тепер стверджує, що це припущення мертве. Відомий кіберзлочинний угрупований використав модель ШІ для створення робочого zero-day, і єдина причина, чому він не вийшов на масовий ринок, — Google встиг звернутися до вендора першим.

Що Сталося

У понеділок Google опублікував звіт від своїх команд Gemini, Google Threat Intelligence Group (GTIG) та Mandiant, де підсумовується, як зловмисники використовують ШІ в реальних операціях. Головний висновок, як повідомив SecurityWeek, полягає в тому, що Google вперше ідентифікував zero-day exploit, розроблений, на його переконання, за допомогою ШІ.

Метою атаки став неназваний open source веб-інструмент системного адміністрування. Корисним навантаженням був Python-скрипт, призначений для обходу двофакторної автентифікації. Загрозливий актор, також неназваний, схоже, готувався до масової експлуатації до того, як Google втрутився з вендором.

Google обережно висловився щодо атрибуції. «Хоча ми не вважаємо, що Gemini використовувався, виходячи зі структури та змісту цих експлойтів, ми з високою впевненістю вважаємо, що актор, імовірно, використовував модель ШІ для підтримки виявлення та зброєризації цієї вразливості», — написала компанія. Ознаки були стилістичними: «скрипт містить велику кількість навчальних docstrings, включно з вигаданим CVSS score, і використовує структурований, підручниковий Pythonic формат, вкрай характерний для навчальних даних LLM (наприклад, детальні меню довідки та чистий клас _C ANSI color).»

Це не єдиний показник у звіті. Угруповання, пов'язані з Китаєм та Північною Кореєю, фігурують активно. Пов'язаний із Китаєм актор розгорнув агентні інструменти Strix та Hexstrike в атаках проти японської технологічної компанії та великої кіберфірми Східної Азії. Китайське угруповання UNC2814, відоме атаками на телекомунікаційні та урядові цілі, використало jailbreak на основі персонажа, в якому моделі було наказано діяти як старший аудитор безпеки, а потім її направили на прошивку TP-Link з реалізаціями OFTP. APT45 з Північної Кореї надсилав тисячі повторюваних запитів для рекурсивного аналізу CVE та валідації PoC-експлойтів, формуючи те, що Google називає «більш надійним арсеналом можливостей експлуатації, яким було б непрактично керувати без допомоги ШІ».

Технічна Анатомія

Відкиньмо обгортку ШІ і подивімось, що насправді змінилося в робочому процесі зловмисника. Обхід 2FA для веб-адмін-інструменту — не новий клас помилок. Цікава частина — це виробничий конвеєр за ним.

Historically, зброєризація обходу автентифікації проходила кілька дорогих для людини кроків: читання вихідного коду, ідентифікація стейт-машини для другого фактора, пошук логічного недоліку чи гонки станів, написання Python, підготовка для автономного використання проти сотень або тисяч цілей. Кожен крок залежав від часу кваліфікованого оператора. Forensic-підпис, який описує Google, — вигаданий CVSS score, підручникові docstrings, чистий допоміжний клас ANSI color — говорить про те, що оператор передав великі частини цього конвеєра моделі. Скрипт читається як LLM-вивід, бо він і є LLM-виводом з мінімальним наглядом.

Jailbreak UNC2814 на основі персонажа важливий з суміжної причини. Трактування моделі як «старшого аудитора безпеки» дозволяє оператору отримувати міркування, які інакше заблокували б guardrails провайдера. Поєднайте це з вбудованою прошивкою (TP-Link OFTP) — і ви отримуєте дешевий паралельний реверс-інжиніринг бінарних блобів, що раніше вимагало фахівця. Патерн APT45 знову відрізняється — менш творчий і більш промисловий: тисячі повторюваних запитів, рекурсивний аналіз CVE, автоматизована валідація PoC. Це пакетне завдання, а не хакер. Це більше схоже на ETL-конвеєр, ніж на kill chain.

Для захисників, що відображають ці поведінки на MITRE ATT&CK, самі техніки не нові. Resource Development, Reconnaissance, Develop Capabilities. Нова — крива витрат. Той самий оператор тепер запускає десять паралельних петель виявлення замість однієї. Економіка перевертається від «одна хороша вразливість на аналітика на квартал» до «одна хороша вразливість на аналітика на тиждень». Це число, яке має бути на дошці CISO.

Хто Постраждає

Перші жертви — всі, хто запускає open source адмін-інструменти, доступні з інтернету. Неназвана ціль у звіті Google — канонічний профіль: веб-інтерфейс, привілеї системного рівня, 2FA як остання лінія захисту, яку підтримує тонка волонтерська команда. iGaming-оператори з самостійно розміщеними операційними дашбордами, фінтехи, що використовують консолі на кшталт Rancher або Portainer, криптокастодіани з внутрішніми адмін-панелями за SSO та TOTP — всі вписуються в цей профіль.

Друга група жертв — всі, чия модель загроз передбачала, що темп патчування N-day є достатнім. Якщо патерн APT45 узагальнити, вікно між публічним розкриттям CVE та зброєризованим PoC стискається до нуля. SLA на патчування, розраховані на 14-денне або 30-денне вікно, стають зобов'язанням, яке CFO врешті побачить у звіті про інцидент.

Третя група — самі вендори. Google тихо співпрацював з ураженим вендором, щоб запобігти масовій експлуатації, і це — питання одиничної економіки, яке ніхто ще не оцінює. Хто платить за координоване розкриття на швидкості ШІ? Мейнтейнер безкоштовного адмін-інструменту не має черговий інженер безпеки. Гіперскейлер, що виявив exploit, поглинув витрати як функцію доброї волі у межах запуску Mandiant. Ця модель не масштабується на тисячолітній хвіст з тисяч інструментів, від яких насправді залежить кожна платформна команда.

Саме тут GC та VP Eng мають провести п'ятнадцятихвилинну розмову цього тижня. GC хоче знати, чи охоплюють SBOM та анкети безпеки вендорів компанії open source адмін-інструменти взагалі, або ж закупівля перевіряє лише комерційних вендорів. VP Eng хоче знати, який із цих інструментів має платний рівень підтримки з реагуванням на безпеку, і скільки коштуватиме перевести критичні з них на нього до наступного квартального оновлення ради директорів.

Playbook для Команд Безпеки

Три конкретні кроки на наступні 30 днів.

Перший — інвентаризувати адміністративний рівень. Кожен веб-інструмент системного адміністрування зі сторінкою входу, доступною з корпоративної мережі, із зазначенням його реалізації 2FA. Якщо 2FA забезпечується через плагін або саморобний middleware, а не фреймворк — ескалюйте це. Google exploit атакував саме цей шов.

Другий — змінити модель SLA на патчування з «календарних днів після CVE» на «годин після сигналу про exploit». Підключіть фід CISA KEV до ротації чергових, якщо це ще не зроблено, і додайте рівень для будь-якого CVE, що стосується інструментів зі списку адмін-інвентаризації вище. Патерн рекурсивної валідації PoC від APT45 означає, що публічний CVE тепер є стартовим пострілом, а не вхідними даними для планування.

Третій — посилити захист від агентного патерну рекон, продемонстрованого UNC2814. Вбудована прошивка, мережеві пристрої та edge-девайси тепер входять до сфери дешевого реверс-інжинірингу. Якщо периметр досі включає споживчі маршрутизатори, офісні комутатори з прошивкою минулого десятиліття або IoT-мости, які ніхто не патчує, — це тепер першокласні активи в моделі загроз. Перенесіть їх за managed gateway або замініть. Математика build-vs-buy щодо цього змінилась, бо витрати зловмисника на збірку щойно впали.

Одна організаційна примітка. Ринок найму offensive security-інженерів, які розуміються на LLM-інструментах, незабаром різко звузиться. Команди, що зачекають до Q4 для поповнення, платитимуть на 30–50 відсотків вище поточних рівнів компенсації. Закріпіть розмови про утримання зараз.

Ключові Висновки

• Звіт Google вперше публічно ідентифікує zero-day exploit, що приписується розробці з допомогою ШІ, — атака на 2FA open source адмін-інструменту.
• Forensic-ознаки були стилістичними — вигаданий CVSS score та підручникова Pythonic структура, а не новий клас вразливостей. Змінилася крива витрат на зброєризацію.
• Пов'язані з державою актори, включно з UNC2814 та APT45, вже проводять масштабні дослідження вразливостей з підтримкою ШІ, використовуючи persona-jailbreaks та рекурсивну валідацію PoC.
• Команди, що використовують open source адмін-інструменти з доступними з інтернету сторінками входу, мають безпосередню вразливість. SLA на патчування, розраховані на 14–30 днів, тепер занадто повільні.
• Керівники платформ, що оцінюють своє наступне інфраструктурне рішення, мають запитати: які з наших критичних open source залежностей мають фінансований шлях реагування на безпеку, і скільки коштує перевести решту на нього до кінця року?