Tak je to tady. Google oficiálně potvrdil, co jsme všichni v koutku duše tušili – podařilo se mu odhalit a zastavit první zero-day exploit, za jehož vývojem prokazatelně stojí umělá inteligence. Tohle není cvičení, tohle mění pravidla hry.
Vždycky jsme věděli, že ten den přijde. Jen jsme asi doufali, že je ještě daleko. Google Threat Intelligence Group (GTIG) teď ale pustila do světa report, který tuhle naivní představu rozbíjí na kusy. Zjistili, že „významní hráči na poli kyberzločinu“ použili AI k vytvoření funkčního zero-day exploitu.
Cílem byl nejmenovaný open-source nástroj pro webovou administraci a exploit měl útočníkům umožnit obejít dvoufaktorové ověření (2FA). Představa masového zneužití téhle díry je, mírně řečeno, nepříjemná.
Jak si byli v Googlu tak jistí, že za tím stojí AI? Nebylo to tak, že by se model podepsal. Nechal za sebou ale sérii digitálních drobečků, které na něj jasně ukazovaly. Ten Python skript byl prostě… až moc dokonalý. Učebnicově naformátovaný, se strukturovanými komentáři (docstrings), které vypadaly jako vytažené přímo z trénovacích dat nějakého LLM.
Pak tu byly ty divné detaily. Jako třeba „halucinované“ CVSS skóre – tedy hodnocení závažnosti zranitelnosti, které si model prostě vymyslel, protože to takhle viděl v datech, na kterých se učil. Člověk by takovou chybu neudělal, nebo by ji aspoň udělal jinak. Byla to kombinace nadlidské preciznosti a nelidské chyby. Právě tenhle mix je ten největší důkaz.
Tohle není jen o jednom exploitu. Tohle je o demokratizaci hrozeb. Až doteď vyžadoval vývoj zero-day zranitelností extrémně specifické a drahé know-how. Bylo to hřiště pro hrstku elitních hackerů a státních aktérů. Teď se ale brána pootevírá.
AI neskutečně zrychluje a zlevňuje celý proces. Dokáže nacházet logické chyby v kódu (tzv. semantic bugs), na které jsou tradiční metody jako fuzzing krátké. Útočník už nemusí být génius, stačí mu být dobrý operátor AI. A to je ten největší strašák.
Sice se mluví o tom, že Google útok zastavil a díra je opravená. Fajn. Ale kolik podobných pokusů prostě nikdo neodhalil? Jsme na začátku nové éry kybernetických závodů ve zbrojení, kde se proti sobě nepostaví jen lidi, ale i celé armády AI modelů. A popravdě, z tohohle zjištění mi zrovna do smíchu není.