Pela primeira vez desde que a inteligência artificial entrou na corrida das ciberameaças, a Google tem provas concretas de que alguém a usou para criar uma arma digital real. O Google Threat Intelligence Group (GTIG) publicou hoje um relatório que documenta o que descreve como o primeiro caso confirmado de um exploit zero-day desenvolvido com recurso a IA e que estava a ser preparado para uma operação de exploração massiva antes de ser intercetado.
O que é um zero-day e por que razão isto é diferente
Uma vulnerabilidade zero-day é uma falha de segurança desconhecida do fabricante do software afetado, o que significa que não há qualquer correção disponível quando é explorada. O nome vem precisamente disso, a vítima tem zero dias para se preparar. São as armas mais valiosas no arsenal dos cibercriminosos.
O que o GTIG descobriu não foi apenas uma nova vulnerabilidade. Foi uma nova forma de a encontrar e transformar em ataque. Segundo o relatório publicado, um grupo de cibercriminosos utilizou um modelo de IA, não Gemini, frisa a Google, para identificar uma falha lógica num script Python que permitia contornar a autenticação de dois fatores (2FA) numa ferramenta popular de administração de sistemas de código aberto. A ferramenta específica não foi identificada publicamente, mas a Google trabalhou com o fornecedor afetado para corrigir a vulnerabilidade antes que o ataque pudesse ser executado.
A “impressão digital” de IA no código foi detetada pelos analistas através de vários indícios, o script continha comentários explicativos em abundância, uma pontuação de severidade CVSS incorreta, o tipo de erro que os modelos de linguagem cometem quando geram dados técnicos que não conseguem verificar, e uma formatação Pythonic estruturada e pedagógica, típica de código produzido por modelos de linguagem de grande escala. A falha aproveitada era um erro semântico de alto nível, o programador original tinha codificado uma assunção de confiança que contradizia a lógica de autenticação da aplicação. É exatamente o tipo de inconsistência que os modelos de linguagem conseguem detetar com eficácia, mas que as ferramentas de análise de código tradicionais tendem a ignorar.
“A ponta do icebergue”
John Hultquist, analista-chefe do GTIG, disse que este caso é “um aperitivo do que está para vir” e “a ponta do icebergue”, acrescentando que se trata da primeira “prova tangível” deste tipo de ataque. A Google tem “grande confiança” de que um modelo de IA foi utilizado tanto na descoberta da vulnerabilidade como na criação do exploit, apesar de não ter conseguido identificar qual.
O grupo em causa estava a planear usar o exploit numa “operação de exploração massiva”, mas os erros na implementação do código podem ter comprometido os planos e a intervenção proativa da Google certamente os interrompeu. Esta pode ter sido “a fase inicial e descuidada” do problema, a Google conseguiu apanhar o ataque, em parte, porque os autores cometeram erros. Isso pode não durar muito tempo.
O relatório vai mais longe do que este caso isolado. O GTIG descreve um padrão mais amplo, o grupo norte-coreano APT45 a enviar milhares de pedidos repetidos a modelos de IA para analisar vulnerabilidades recursivamente; um ator ligado à China, identificado como UNC2814, a tentar contornar as salvaguardas do Gemini para obter informação sobre falhas em firmware de routers; e duas famílias de malware russas, CANFAIL e LONGSTREAM, que usam código gerado por IA como decoy para dificultar a análise por parte de investigadores de segurança.
O lado defensivo: a corrida armamentista já começou
A ironia é que a IA também está a ser usada na outra direção. A própria Google lançou o Big Sleep, um agente desenvolvido pelo Google DeepMind e pelo Project Zero para procurar ativamente vulnerabilidades desconhecidas em software, e o CodeMender, uma ferramenta experimental baseada no Gemini para corrigir automaticamente vulnerabilidades críticas no código.
Em abril, a Anthropic anunciou o Project Glasswing, uma iniciativa que usa o Claude Mythos Preview, o modelo mais avançado da empresa, com capacidades de segurança ofensiva excecionais, para encontrar e corrigir vulnerabilidades em software crítico, antes que actores maliciosos possam explorar as mesmas capacidades. Os parceiros de lançamento incluem a Amazon Web Services, a Apple, a Microsoft, a Google, a CrowdStrike, a NVIDIA e a JPMorgan Chase, entre outros. A Anthropic comprometeu 100 milhões de dólares em créditos de utilização do modelo para financiar a iniciativa.
O caso divulgado hoje pela Google é o primeiro com “prova tangível”, nas palavras do próprio GTIG. Mas a lógica dos números sugere que não será o último.
