Google обнаружил первый разработанный ИИ эксплойт нулевого дня

Компания Google подтвердила первый известный случай использования эксплойта нулевого дня, разработанного с помощью искусственного интеллекта. 11 мая 2026 года Группа по анализу угроз компании, GTIG, опубликовала отчет AI Threat Tracker, в котором подробно описано, как известная киберпреступная группа использовала модель искусственного интеллекта, чтобы выявить и использовать недостаток безопасности в популярном инструменте веб-администрирования с открытым исходным кодом. Уязвимость позволяла обойти двухфакторную аутентификацию. Google сотрудничал с пострадавшим поставщиком, чтобы исправить уязвимость, и считает, что его вмешательство могло сорвать запланированную группой кампанию по массовой эксплуатации до ее начала.

GTIG заявила что у нее есть большая уверенность в том, что сценарий эксплойта на языке Python написала модель искусственного интеллекта, а не человек-исследователь. Код выдавал его. Он содержал обилие обучающих документов, галлюцинаторный балл серьезности CVSS, подробные меню помощи и чистый, структурированный стиль форматирования, характерный для больших обучающих данных языковой модели. Это не те вещи, которые мог бы включить человек, пишущий инструмент атаки. Сам целевой дефект представлял собой семантическую логическую ошибку - разработчик жестко закодировал предположение о доверии в поток аутентификации, создав противоречие с логикой применения 2FA, которое традиционные сканеры безопасности пропустили, но которое ИИ, очевидно, заметил, прочитав намерения разработчика, а не просто механически проанализировав код. Согласно отчету, злоумышленники не использовали ни собственные модели Gemini от Google, ни Mythos от Anthropic.

Почему это почти сработало и почему нет

Злоумышленники планировали массовую кампанию по эксплуатации, нацеливаясь на инструмент с открытым исходным кодом в масштабах всего мира с помощью эксплойта, сгенерированного ИИ. Проактивное контр-обнаружение GTIG, по-видимому, прервало этот план до того, как он получил развитие. Также, вероятно, помешали ошибки в реализации эксплойта. "Самое неприятное для всех остальных заключается в том, что это, по-видимому, все еще неуклюжая ранняя стадия, - отмечает The Register в своем репортаже. Ошибки в исполнении спасли в этот раз множество потенциальных жертв. Возможно, это не сработает. Главный аналитик компании GTIG Джон Хультквист (John Hultquist) сказал: "Существует ошибочное мнение, что гонка уязвимостей ИИ неминуема. Реальность такова, что она уже началась. На каждый "нулевой день", который мы можем отследить в связи с ИИ, вероятно, приходится гораздо больше"

Семантический логический изъян, лежащий в основе эксплойта, указывает на нечто более серьезное, чем единичный инцидент. Традиционные сканеры предназначены для обнаружения падений, сбоев и повреждений памяти. Они не читают код так, как его пишет разработчик. А вот LLM - да. Они могут соотнести замысел с реализацией, выявить противоречия между замыслом и исполнением и обнаружить скрытые логические ошибки, которые выглядят функционально корректными для всех используемых в настоящее время автоматизированных инструментов. GTIG описывает это как растущую способность, для борьбы с которой традиционные инструменты безопасности структурно не приспособлены.

Более широкая картина из отчета GTIG

Случай "нулевого дня" - это одна из составляющих более широкой картины, о которой говорится в отчете. Северокорейская группа APT45 отправляла тысячи повторяющихся запросов моделям искусственного интеллекта для рекурсивного анализа уязвимостей и создания арсенала эксплойтов в таких масштабах, которые было бы непрактично обрабатывать вручную. Связанный с Китаем агент под ником UNC2814 использовал подсказки для джейлбрейка от эксперта-персоны, чтобы подтолкнуть Gemini к исследованию недостатков удаленного выполнения кода перед аутентификацией в прошивке маршрутизаторов TP-Link. Российские группы использовали сгенерированный ИИ звук, вставленный в легитимные новостные записи, для операций влияния. Кроме того, на сайте GTIG задокументированы бэкдоры Android которые используют вызовы API Gemini для автономной навигации по зараженным устройствам, а также семейства вредоносных программ, наполненные кодом, сгенерированным ИИ, специально для того, чтобы запутать аналитиков.

В марте 2026 года преступная группа TeamPCP взломала LiteLLM, широко используемую библиотеку шлюзов ИИ, внедрив в нее похитителя учетных данных с помощью отравленных пакетов PyPI и вредоносных запросов на исправление. Украденные ключи AWS и токены GitHub были монетизированы с помощью партнерских программ-вымогателей. Атака была направлена на интеграционный слой вокруг систем искусственного интеллекта, а не на сами модели, что, по мнению GTIG, становится стандартом. Пограничные модели трудно скомпрометировать напрямую. А вот соединители, обёртки и слои API вокруг них - нет.

ИИ становится оружием не только злоумышленников. Он также используется в качестве приманки. Notebookcheck рассказывал о том, как поддельный сайт Claude AI продвигал бэкдор Beagle Windows через результаты спонсируемого поиска Google на прошлой неделе, используя троянскую программу установки для развертывания инструмента удаленного доступа, нацеленного на разработчиков, ищущих инструменты Claude Code