O Google Threat Intelligence Group (GTIG) publicou ontem um relatório documentando, pela primeira vez, um ator de ameaças usando um exploit contra um zero-day desenvolvido com inteligência artificial. O cibercriminoso, segundo relatório do GTIG, planejava usá-la em um evento de exploração em massa, mas a descoberta proativa da equipe pode ter evitado sua utilização.
Vulnerabilidade semântica e alucinação de CVSS
A falha identificada permite bypass da autenticação de dois fatores (2FA) em uma popular ferramenta de administração de sistemas open-source. O script em Python continha docstrings educacionais em abundância, incluindo um indicador de CVSS alucinado, e estrutura em formato Pythonico característico de dados de treinamento de LLMs. A vulnerabilidade não decorre de erros comuns como corrupção de memória, mas de uma falha lógica semântica de alto nível: o desenvolvedor codificou uma suposição de confiança.
Malware autônomo orquestrado por IA
O relatório indica que “os adversários estão aprimorando a implementação de ferramentas com inteligência artificial, indo além da geração de conteúdo e do desenvolvimento de ferramentas para uma orquestração de ataques autônomos mais sofisticada para comandos de malware”, citando como exemplo o PROMPTSPY, um backdoor para Android que utiliza o Gemini para navegação autônoma da interface do usuário. O módulo “GeminiAutomationAgent” serializa a hierarquia da interface em formato XML e envia para o modelo “gemini-2.5-flash-lite”, que retorna coordenadas espaciais para simular gestos físicos como clique e deslize. O malware também captura dados biométricos da vítima para rejogar padrões de autenticação.
Os pesquisadores observaram que atores associados à China e Coreia do Norte demonstraram interesse sofisticado no uso de IA para descoberta de vulnerabilidades, incluindo tentativas de jailbreak por personas e integração de datasets especializados como o “wooyun-legacy”, que contém mais de 85 mil casos reais de falhas. Ameaças ligadas à Rússia utilizaram LLMs para gerar código de isca (decoy) em malware como CANFAIL e LONGSTREAM, com blocos inertes de código para camuflar funcionalidades maliciosas.
FONTE: CISO ADVISOR
