Google Revela Primeiro Exploit Zero-Day Criado com Inteligência Artificial
A Google descobriu o primeiro caso conhecido de um exploit zero-day gerado por inteligência artificial, visando uma ferramenta de administração web de código aberto. A empresa também alertou sobre o uso crescente de IA por grupos de ameaças, incluindo China e Coreia do Norte, para análise de vulnerabilidades e desenvolvimento de exploits. O relatório destaca a evolução das táticas de ataque, que agora incluem a exploração de modelos de linguagem e a 'industrialização' do acesso a modelos de IA.
MundiX News·14 de maio de 2026·3 min de leitura·👁 3 views
A Google anunciou a descoberta do primeiro caso documentado de um exploit zero-day criado com o auxílio de inteligência artificial (IA). O ataque foi direcionado a uma ferramenta de administração web de código aberto amplamente utilizada, visando contornar a autenticação de dois fatores. A Google Threat Intelligence Group (GTIG) identificou que os invasores provavelmente empregaram um modelo de IA para desenvolver o exploit, embora o nome do produto afetado e a autoria do ataque não tenham sido divulgados.
Os pesquisadores da Google relataram que os invasores criaram um exploit em Python capaz de burlar a autenticação de dois fatores. A empresa conseguiu notificar os desenvolvedores do software vulnerável antes que a exploração se tornasse generalizada. O incidente é considerado um marco significativo, pois demonstra a capacidade da IA não apenas de gerar phishing e código malicioso, mas também de identificar vulnerabilidades desconhecidas. A análise do código do exploit revelou características típicas de modelos de linguagem de grande porte (LLMs), como comentários de documentação instrutivos, uma classificação CVSS inventada e um estilo de escrita 'didático' no script Python, indicando o uso de dados de treinamento comuns a esses modelos. A Google ressaltou que não encontrou evidências do uso do Gemini no ataque.
O relatório da Google também destacou o uso crescente de IA por grupos de ameaças, incluindo grupos chineses e norte-coreanos, para análise de vulnerabilidades e desenvolvimento de exploits. Grupos como APT27, APT45, UNC2814, UNC5673 e UNC6201 estão ativamente empregando IA em suas operações. Por exemplo, o grupo UNC2814 utilizou técnicas de jailbreak para fazer com que um modelo de IA 'atuasse' como um auditor de segurança sênior, analisando firmwares TP-Link. A APT45, por sua vez, automatizou a análise de CVEs e a verificação de exploits PoC, enviando milhares de solicitações repetitivas à IA. Além disso, a Google observou que atores ligados à Rússia estão usando código gerado por IA para ofuscar malware como CANFAIL e LONGSTREAM, e empregando clonagem de voz e deepfakes em operações como a Operação Overload. O relatório também mencionou o backdoor Android PromptSpy, que explorou APIs do Gemini para contornar mecanismos de segurança de LLMs, automatizando a interação com a interface do dispositivo, incluindo a reautenticação através de PINs e padrões gráficos. A Google alertou ainda sobre a 'industrialização' do acesso a modelos de IA pagos por criminosos, que utilizam registro automatizado de contas, pools de contas e infraestrutura de proxy.
A Google anunciou a descoberta do primeiro caso documentado de um exploit zero-day criado com o auxílio de inteligência artificial (IA). O ataque foi direcionado a uma ferramenta de administração web de código aberto amplamente utilizada, visando contornar a autenticação de dois fatores. A Google Threat Intelligence Group (GTIG) identificou que os invasores provavelmente empregaram um modelo de IA para desenvolver o exploit, embora o nome do produto afetado e a autoria do ataque não tenham sido divulgados.
Os pesquisadores da Google relataram que os invasores criaram um exploit em Python capaz de burlar a autenticação de dois fatores. A empresa conseguiu notificar os desenvolvedores do software vulnerável antes que a exploração se tornasse generalizada. O incidente é considerado um marco significativo, pois demonstra a capacidade da IA não apenas de gerar phishing e código malicioso, mas também de identificar vulnerabilidades desconhecidas. A análise do código do exploit revelou características típicas de modelos de linguagem de grande porte (LLMs), como comentários de documentação instrutivos, uma classificação CVSS inventada e um estilo de escrita 'didático' no script Python, indicando o uso de dados de treinamento comuns a esses modelos. A Google ressaltou que não encontrou evidências do uso do Gemini no ataque.
O relatório da Google também destacou o uso crescente de IA por grupos de ameaças, incluindo grupos chineses e norte-coreanos, para análise de vulnerabilidades e desenvolvimento de exploits. Grupos como APT27, APT45, UNC2814, UNC5673 e UNC6201 estão ativamente empregando IA em suas operações. Por exemplo, o grupo UNC2814 utilizou técnicas de jailbreak para fazer com que um modelo de IA 'atuasse' como um auditor de segurança sênior, analisando firmwares TP-Link. A APT45, por sua vez, automatizou a análise de CVEs e a verificação de exploits PoC, enviando milhares de solicitações repetitivas à IA. Além disso, a Google observou que atores ligados à Rússia estão usando código gerado por IA para ofuscar malware como CANFAIL e LONGSTREAM, e empregando clonagem de voz e deepfakes em operações como a Operação Overload. O relatório também mencionou o backdoor Android PromptSpy, que explorou APIs do Gemini para contornar mecanismos de segurança de LLMs, automatizando a interação com a interface do dispositivo, incluindo a reautenticação através de PINs e padrões gráficos. A Google alertou ainda sobre a 'industrialização' do acesso a modelos de IA pagos por criminosos, que utilizam registro automatizado de contas, pools de contas e infraestrutura de proxy.
