Google: хакеры использовали ИИ, чтобы найти баг — и это не шутка

Помните, как мы шутили, что ИИ захватит мир? Похоже, он начал не с того конца. Google объявила, что группировка хакеров использовала искусственный интеллект для обнаружения и эксплуатации критической уязвимости в одном из её продуктов. Это первый задокументированный случай, когда злоумышленники применили AI для поиска zero-day в дикой природе.

Согласно отчёту, атака была совершена на Mythos — внутреннюю систему Google, используемую для управления облачными проектами. Хакеры из группы, предположительно связанной с APT-акторами, обучили модель на патчах и отчётах об ошибках, чтобы выявить брешь, которую затем использовали для доступа к данным клиентов. Google утверждает, что быстро закрыла уязвимость и не обнаружила утечки данных, но сам факт — как сюжет фильма про Скайнет, только вместо ядерных ракет — украденные токены доступа.

Что это значит для разработчиков? Во-первых, ваши CI/CD пайплайны теперь под прицелом не только ваших же костылей, но и алгоритмов, которые анализируют коммиты быстрее, чем вы пьёте утренний кофе. Во-вторых, пора пересмотреть подход к security: если раньше мы боялись, что хакеры переберут пароли, то теперь они могут просто попросить ChatGPT найти баг в вашем коде.

Google уже усилила защиту Mythos и внедрила дополнительные проверки для AI-моделей, используемых в системе. Но гонка вооружений началась: теперь и защитники, и атакующие будут использовать ИИ. Кто быстрее напишет промпт — тот и победил.

Комментарий студии METABYTE: Хорошая новость: мы предупреждали, что ИИ нужно внедрять с умом. Плохая: теперь даже ваши баги могут быть «прочитаны» нейросетью раньше, чем вы их зафиксируете. Если хотите, чтобы ваш код был крепче, чем кофе в 3 часа ночи — обращайтесь, поможем с аудитом безопасности.