Google potvrdil první případ odhalení zero-day zranitelností pomocí AI v trestné činnosti
Zpráva Google GTIG AI Threat Tracker zaznamenala první kriminální exploit vytvořený pomocí AI, který obešel dvoufaktorovou autentizaci. Byl také odhalen autonomní malware pro Android využívající Gemini.
AI se naučilo prolomit systémy: jak Google chytil první zero-day vytvořený strojem a proč je to jen začátek
Podstata: co se skutečně děje
- května 2026 vejde do učebnic kybernetické bezpečnosti jako den, kdy se detektiv proměnil v realitu. Google Threat Intelligence Group zveřejnila zprávu, která zaznamenává první potvrzený případ vytvoření zero-day exploitu pomocí umělé inteligence – nikoli v laboratorních podmínkách, nikoli jako experiment, ale v rámci fungujícího zločineckého schématu zaměřeného na masové zneužívání zranitelnosti v otevřeném nástroji pro systémovou správu.
Příběh je současně banální i znepokojivý. Nezveřejněná zločinecká skupina – s historií velkých průniků – použila velký jazykový model k vyhledání a zneužití zranitelnosti umožňující obcházet dvoufaktorovou autentizaci. Exploit měl být základem „události masového zneužívání“, ale Google zasáhl včas: zranitelnost byla předána vývojáři, patch byl vydán dříve, než útok začal.
Proč je Google přesvědčen, že kód napsala právě AI, a ne člověk – klíčový moment. Python skript obsahoval „výukové“ docstringy ve stylu učebnice, strukturované komentáře typické pro výstupy LLM a – co je obzvláště výmluvné – halucinované CVSS skóre, které si model vymyslel, nikoli převzal z reálné databáze. Lidský výzkumník takové artefakty nepíše. To je podpis stroje.
Časová osa a kontext
Události května 2026 nevznikly ve vzduchoprázdnu. Předcházely jim měsíce eskalace na všech frontách.
Srpen 2025: ESET objevuje PromptLock – první historii AI řízený ransomware, který používá generativní modely k přizpůsobení požadavků oběti. Průmysl poprvé vidí GenAI ne jako vývojový nástroj, ale jako součást spustitelného kódu malwaru.
Leden 2026: První vzorky Android trojanu VNCSpy jsou nahrány na VirusTotal z Hongkongu. Kód je zatím primitivní – klasický VNC backdoor bez AI komponenty.
Únor 2026: Jen o měsíc později – kvalitativní skok. Objevuje se PromptSpy, evoluce VNCSpy, s vestavěným modulem pro interakci s Gemini. Nyní malware používá API Google k interpretaci rozhraní infikovaného zařízení a autonomní navigaci po obrazovce. ESET zaznamenává vzorky nahrané již z Argentiny. Mechanismus funguje takto: trojan pořídí XML dump obrazovky, odešle jej Gemini s instrukcí „jsi asistent automatizace Android“, obdrží JSON odpověď se souřadnicemi dotyků a provede je. Cyklus se opakuje, dokud není úkol splněn.
Současně Google zveřejňuje únorovou zprávu GTIG, kde poprvé zaznamenává: státní skupiny KLDR a ČLR používají AI ve všech fázích útoků – od průzkumu po post-kompromitaci. Severokorejská APT45 prohání přes AI tisíce exploitů pro validaci a škálování arzenálu.
Březen 2026: Skupina TeamPCP kompromituje LiteLLM – populární knihovnu-bránu pro práci s LLM – prostřednictvím otrávených PyPI balíčků a škodlivých pull requestů. Přihlašovací údaje AWS a GitHub unikají zločincům a jsou monetizovány prostřednictvím partnerství s ransomwarovými skupinami. To je nový vektor: útočit nikoli na samotný model, ale na integrační vrstvu kolem něj.
Květen 2026: Zpráva GTIG zveřejněná 12. května krystalizuje obraz. Kromě zero-day v ní jsou zaznamenány: použití agentních nástrojů jako OpenClaw čínskou skupinou UNC2814 pro nepřetržité skenování japonské technologické společnosti; persona-driven jailbreaky pro vylákání z LLM zranitelností pre-auth RCE ve firmwarech TP-Link; ruské operace vlivu se syntetickým audiem vloženým do skutečných zpravodajských příběhů.
To už nejsou izolované incidenty, ale vzorec.
Kdo vyhrává a kdo prohrává
Prohrávají – samozřejmě – všichni, kdo spravují webovou infrastrukturu. Mizí okno mezi odhalením zranitelnosti a začátkem útoků. Fortinet v paralelní zprávě zaznamenává: nyní exploitation pokusy začínají do 24-48 hodin po odhalení, zatímco dříve průměr činil 4,76 dne. Za rok vzrostl počet obětí ransomwaru o 389 % – z 1 600 na 7 831. To je svět, kde je třeba patchovat v den zveřejnění CVE, nikoli v týdenním SLA.
Prohrává open-source ekosystém. Útok se zaměřil na otevřený nástroj pro správu. Sémantická zranitelnost, kterou AI našla – sémantická logická vada, kde vývojář vložil předpoklad důvěry do autentizačního toku, čímž vytvořil rozpor s logikou 2FA. Tradiční skenery hledají přetečení bufferu a závody vláken. Nečtou kód jako člověk. LLM čte právě tak – a nachází chyby v záměru, nikoli v syntaxi.
Prohrávají výrobci telefonů. PromptSpy nepotřebuje konkrétní souřadnice pro stisknutí tlačítka „připnout do paměti“ na Androidu. Ptá se Gemini a model rozumí: na Samsungu se uzamčení aplikace provádí dlouhým tapem, na Xiaomi tahem dolů, na Pixelu ikonkou zámku. Stejný malware funguje na všech.
Vyhrává Google. Ironií je, že společnost, jejíž model Gemini PromptSpy zneužívá, z celé situace těží. GTIG buduje reputační kapitál tím, že demonstruje schopnost zachycovat AI řízené útoky v rané fázi. Ochranné nástroje jako Big Sleep pro vyhledávání zranitelností a CodeMender pro jejich automatické opravy získávají důkazní základnu poptávky.
Vyhrávají útočníci připravení na automatizaci. Fortinet zaznamenává: brute-force pokusy klesly o 22 %, ale exploitation attempts vzrostly o 25,49 %. To není pokles aktivity, ale posun od kvantity ke kvalitě. Přístup k nástrojům jako WormGPT, FraudGPT a HexStrike AI snižuje vstupní práh a data ukradená infostealery (RedLine, Lumma, Vidar) – již 67 % všech prodávaných datasetů na darkwebu – poskytují palivo pro cílené útoky.
Co média neříkají
Postřeh první: zranitelnost není technická, ale sémantická – a v tom je jaderný problém. Třicet let existence průmyslu kybernetické bezpečnosti jsme budovali ochranu kolem hledání syntaktických chyb. Fuzzer hledá crash. Statický analyzátor hledá vzor. Ani jedno nezaznamená logický rozpor mezi záměrem programátora a implementací. LLM ho zaznamená – protože vidí sémantiku, kontext, záměr. To znamená, že v každém projektu s historií delší než pět let leží nezaznamenané logické zranitelnosti, které nevidí žádný tradiční nástroj. Zero-day nalezený AI – to není výjimka, to je začátek zlaté horečky.
Postřeh druhý: použití AI v trestné činnosti činí malware nepředvídatelným, a tedy neviditelným pro antiviry. Tradiční antivirus hledá signatury, behaviorální vzorce, známé sekvence API volání. Ale pokud každá instance PromptSpy dynamicky rozhoduje na základě odpovědi LLM, její chování je variabilní v mezích, které nepokrývá žádná myslitelná databáze pravidel. ESET chytil PromptSpy díky debug flagu v kódu. Příště flag odstraní – a detekce bude o řád složitější.
Postřeh třetí: cíl není v nástroji, ale v samotné AI. LiteLLM útok TeamPCP ukazuje nový model hrozby. Kompromitace knihovny-brány umožňuje zachytávat přihlašovací údaje všech, kdo používají LLM prostřednictvím tohoto nástroje. To je supply-chain útok na infrastrukturu kolem modelů. Pokud útočník získá přístup k API klíčům LLM providera, bude moci používat cizí placené předplatné ke škálování vlastních útoků, zcela skryje svou stopu. GTIG přímo uvádí: útočníci vyvíjejí profesionální middleware pro anonymní přístup k prémiovým modelům s automatickou rotací účtů.
Postřeh čtvrtý: první zaznamenaný zero-day je chyba zločinců, nikoli triumf ochrany. Google našel exploit díky artefaktům nezkušenosti: halucinovanému CVSS, „výukovým“ komentářům. Další iterace nebudou tyto markery obsahovat. Již byly zaznamenány případy použití OpenClaw pro refajnování AI-generovaných exploitů v kontrolovaných prostředích před nasazením. To je industrializace procesu: hrubý kód píše LLM, člověk ho přečte a vyčistí artefakty.
Prognóza: následujících 30 dní a 90 dní
30 dní (do poloviny června 2026). Zveřejnění zprávy Google vyvolá vlnu auditů v průmyslu otevřeného softwaru. Projekty podporující webová administrační rozhraní začnou dostávat bug reporty neobvyklého typu: „AI našla logický rozpor v řádku 847“. Vývojáři mainstreamových projektů (Jenkins, Grafana, GitLab) zahájí interní revize právě sémantických zranitelností – té třídy, kterou dříve nikdo systematicky nehledal.
Současně na stínových fórech dojde k přehodnocení cen. Hotové exploity s „halucinacemi“ v kódu budou diskontovány, ale vzroste poptávka po specialistech schopných čistit AI-generovaný kód od artefaktů. Objeví se nová mikro-specializace v kriminálním ekosystému: „AI exploit sanitizer“.
Očekávám, že během 30 dní alespoň jeden velký dodavatel (Microsoft, Cisco nebo Palo Alto) oznámí zahrnutí sémantické analýzy založené na LLM do svých skenerů kódu. To bude přímá odpověď na hrozbu popsanou GTIG.
90 dní (do poloviny srpna 2026). Sémantické zranitelnosti se stanou mainstreamovým vektorem. Dnes o nich mluví jen Google. Za tři měsíce se objeví nezávislé studie od FireEye, CrowdStrike a akademických skupin, katalogizující typy logických chyb, které LLM nachází lépe než člověk. Do srpna bude zaznamenáno nejméně 5-7 CVE nalezených pomocí AI – a to jak obránci, tak útočníky.
V létě 2026 na Black Hat a DEF CON bude téma AI-driven vulnerability discovery dominovat programu. Očekávám nejméně jednu prezentaci s demonstrací automatického pipeline: LLM najde zranitelnost, agentní framework vygeneruje exploit, jiný agent vyčistí artefakty, třetí nasadí útok. Ne jako proof-of-concept, ale jako fungující řetězec.
Nejnepříjemnější: model monetizace ukradených dat se definitivně posune k AI analýze. Infostealery již dodávají 67 % obsahu stínových databází. K tomu přibude automatická kategorizace a prioritizace obětí pomocí LLM: „zde je společnost s otevřeným RDP a zastaralým vCenter – pravděpodobnost zaplacení výkupného 78 %, doporučená částka – 400 000 USD“. To pozvedne ransomware na novou úroveň ekonomické efektivity.
Závěr. 12. května 2026 zaznamenalo to, na co se léta varovalo: první AI-generovaný zero-day. Ale to není cíl, ale start. Závod začal – a obránci se budou muset naučit myslet jako LLM, aby předběhli ty, kteří se to již naučili. John Hultquist z GTIG to formuloval naprosto jasně: „Existuje mylná představa, že závod AI zranitelností je nevyhnutelný. Realita je taková, že již probíhá. Na každý zero-day, který dokážeme vystopovat k AI, pravděpodobně připadá mnoho dalších, které nevidíme.“
— Editorial Team
Zatím žádné komentáře.