Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Google Threat Intelligence Group poinformował o wykryciu kampanii, w której atakujący mieli wykorzystać model sztucznej inteligencji do odkrycia oraz przygotowania exploita dla podatności zero-day umożliwiającej obejście mechanizmu uwierzytelniania dwuskładnikowego. To ważny sygnał dla rynku cyberbezpieczeństwa, ponieważ pokazuje, że AI przestaje być wyłącznie narzędziem wspierającym rekonesans czy phishing, a zaczyna odgrywać rolę w bardziej zaawansowanych etapach operacji ofensywnych.
W tym przypadku mowa nie o klasycznej luce technicznej związanej z pamięcią czy walidacją danych, lecz o błędzie logicznym w procesie autoryzacji. Tego typu podatności są trudniejsze do wykrycia przez tradycyjne skanery, ponieważ wynikają z niespójności między założeniami bezpieczeństwa a rzeczywistym działaniem aplikacji.
W skrócie
Google ujawnił, że zidentyfikował nieznanego wcześniej aktora zagrożeń, który prawdopodobnie użył AI do wsparcia procesu odkrywania i uzbrojenia luki zero-day. Podatność dotyczyła popularnego otwartoźródłowego narzędzia administracyjnego dostępnego przez przeglądarkę i pozwalała na obejście 2FA, choć atak nadal wymagał posiadania prawidłowych danych logowania.
Exploit miał zostać napisany w Pythonie i zawierał cechy typowe dla kodu generowanego przez duże modele językowe, takie jak nadmiarowe komentarze, formalna struktura oraz elementy przypominające automatycznie wygenerowaną dokumentację. Problem został zgłoszony producentowi i usunięty przed planowaną próbą szerszego wykorzystania.
Kontekst / historia
W ostatnich miesiącach obserwowany jest szybki wzrost wykorzystania AI w cyberprzestępczości. Początkowo modele językowe służyły głównie do tworzenia wiadomości phishingowych, automatyzacji rekonesansu, tłumaczenia treści, analizy publicznie znanych podatności oraz modyfikowania kodu malware. Nowe ustalenia wskazują jednak na przesunięcie w stronę aktywnego wspierania odkrywania nieznanych wcześniej luk.
To oznacza skrócenie czasu między identyfikacją słabości a przygotowaniem działającego exploita. Z punktu widzenia obrońców rośnie więc presja na szybsze wykrywanie błędów, lepsze modelowanie zagrożeń i skuteczniejsze monitorowanie anomalii związanych z uwierzytelnianiem.
Analiza techniczna
Kluczowym elementem incydentu był charakter luki. Podatność umożliwiała obejście 2FA, ale nie dawała anonimowemu atakującemu natychmiastowego dostępu do systemu. Warunkiem powodzenia ataku było wcześniejsze posiadanie poprawnego loginu i hasła. Dopiero wtedy możliwe było pominięcie drugiego składnika uwierzytelniania.
Według dostępnych informacji źródłem problemu była twardo zakodowana relacja zaufania w logice aplikacji. To szczególnie niebezpieczna klasa błędów, ponieważ nie powoduje awarii ani oczywistych śladów technicznych. Tradycyjne metody, takie jak fuzzing czy klasyczna analiza statyczna, często nie wykrywają takich niespójności, ponieważ problem tkwi w semantyce działania systemu.
Google ocenił z wysoką pewnością, że do wsparcia procesu odkrycia i przygotowania exploita wykorzystano AI. Wskazywać miały na to artefakty obecne w kodzie, między innymi formalny styl implementacji, rozbudowane opisy funkcji, edukacyjny sposób komentowania oraz elementy wyglądające jak wynik działania modelu generatywnego. To istotny precedens, ponieważ sugeruje, że modele językowe stają się przydatne również przy analizie błędów wysokiego poziomu, szczególnie w logice autoryzacji i zarządzania sesją.
Konsekwencje / ryzyko
Najważniejszym ryzykiem jest osłabienie skuteczności 2FA jako zabezpieczenia chroniącego przed przejęciem kont. Jeśli atakujący dysponuje już prawidłowymi poświadczeniami, luka logiczna może pozwolić mu ominąć dodatkową warstwę ochrony i uzyskać pełny dostęp do aplikacji.
Drugą konsekwencją jest przyspieszenie całego łańcucha ataku. AI może znacząco skrócić czas potrzebny na analizę aplikacji, znalezienie nietypowych błędów oraz wygenerowanie gotowego kodu exploitacyjnego. W praktyce zmniejsza to okno czasowe na reakcję zespołów bezpieczeństwa.
Trzecie ryzyko ma wymiar strategiczny. Szczególnie narażone są aplikacje administracyjne, rozwiązania IAM, panele zarządzające oraz systemy webowe obsługujące uwierzytelnianie i autoryzację. W takich środowiskach pojedynczy błąd logiczny może prowadzić do przejęcia kontroli nad kluczowymi zasobami organizacji.
Rekomendacje
Organizacje powinny traktować 2FA jako jeden z elementów szerszej architektury bezpieczeństwa, a nie jako samodzielną gwarancję ochrony. Konieczne jest regularne testowanie logiki uwierzytelniania i autoryzacji pod kątem wyjątków, niejawnych założeń zaufania oraz scenariuszy obejścia kontroli bezpieczeństwa.
- prowadzić przeglądy kodu ukierunkowane na błędy logiczne, a nie tylko klasyczne podatności implementacyjne,
- testować scenariusze obejścia MFA i 2FA podczas audytów aplikacyjnych oraz ćwiczeń red teamingowych,
- ograniczać ekspozycję internetową paneli administracyjnych,
- wymuszać segmentację dostępu i zasadę najmniejszych uprawnień,
- monitorować przypadki logowania zakończone sukcesem bez standardowego przebiegu drugiego składnika,
- korelować zdarzenia IAM z anomaliami sesji, lokalizacji i urządzeń,
- przyspieszać wdrażanie poprawek dla systemów dostępnych publicznie.
Zespoły AppSec i DevSecOps powinny dodatkowo uwzględniać w modelowaniu zagrożeń możliwość wykorzystania AI przez przeciwnika do analizy logiki biznesowej. Warto też rozwijać defensywne zastosowania AI do wykrywania niespójności w kodzie, analizy zmian oraz priorytetyzacji ryzyka.
Podsumowanie
Opisany przypadek może być punktem zwrotnym w rozwoju współczesnych zagrożeń. Po raz pierwszy publicznie wskazano, że AI mogła zostać użyta do stworzenia exploita zero-day umożliwiającego obejście 2FA w scenariuszu planowanej masowej eksploatacji. Nawet jeśli atak wymagał wcześniej przejętych poświadczeń, jego znaczenie pozostaje duże, ponieważ pokazuje rosnącą skuteczność modeli AI w identyfikowaniu błędów logicznych wysokiego poziomu.
Dla obrońców to sygnał, że tradycyjne metody wykrywania podatności nie są już wystarczające jako jedyna linia ochrony. Coraz większego znaczenia nabierają testy ukierunkowane na autoryzację, analiza semantyki kodu oraz szybkie reagowanie na anomalie w procesach MFA.
Źródła
- Hackers Used AI to Develop First Known Zero-Day 2FA Bypass for Mass Exploitation — https://thehackernews.com/2026/05/hackers-used-ai-to-develop-first-known.html
- GTIG AI Threat Tracker: Adversaries Leverage AI for Vulnerability Exploitation, Augmented Operations, and Initial Access — https://cloud.google.com/blog/topics/threat-intelligence/ai-vulnerability-exploitation-initial-access