Powrót do strony głównej

AI zero-day: Google odkrył exploit stworzony maszynowo

Google Threat Intelligence Group odnotowała pierwszy w historii przypadek stworzenia exploita zero-day przez sztuczną inteligencję w rzeczywistym schemacie przestępczym, mającym na celu ominięcie uwierzytelniania dwuskładnikowego. Kod zawierał charakterystyczne dla LLM artefakty, w tym halucynacyjną ocenę CVSS. Incydent oznacza przejście do ataków z semantycznymi lukami, niewidocznymi dla tradycyjnych skanerów.

Google złapał pierwszy zero-day stworzony przez AI: jak kod maszynowy złamał 2FA
Advertisement 728x90

Google potwierdził pierwszy przypadek wykrycia luk dnia zerowego przy użyciu AI w celach przestępczych

Raport Google GTIG AI Threat Tracker odnotował pierwszy kryminalny exploit stworzony przy użyciu AI, który ominął uwierzytelnianie dwuskładnikowe. Wykryto również autonomiczne złośliwe oprogramowanie dla Androida wykorzystujące Gemini.


AI nauczyło się łamać systemy: jak Google złapał pierwszy zero-day stworzony przez maszynę i dlaczego to dopiero początek

Sedno: co naprawdę się dzieje

12 maja 2026 roku wejdzie do podręczników cyberbezpieczeństwa jako dzień, w którym detektyw stał się rzeczywistością. Google Threat Intelligence Group opublikowała raport odnotowujący pierwszy potwierdzony przypadek stworzenia exploita dnia zerowego przy użyciu sztucznej inteligencji – nie w warunkach laboratoryjnych, nie w ramach eksperymentu, ale w działającym przestępczym schemacie, ukierunkowanym na masową eksploatację luki w otwartym narzędziu administracji systemowej.

Google AdInline article slot

Historia jest jednocześnie banalna i niepokojąca. Nienazwana grupa przestępcza – z historią głośnych włamań – wykorzystała duży model językowy do znalezienia i wykorzystania luki umożliwiającej ominięcie uwierzytelniania dwuskładnikowego. Exploit miał stanowić podstawę „zdarzenia masowej eksploatacji”, ale Google zdążył interweniować: luka została przekazana twórcy, a łatka wydana przed rozpoczęciem ataku.

Dlaczego Google jest pewien, że kod napisało AI, a nie człowiek – to kluczowy punkt. Skrypt Pythona zawierał „edukacyjne” docstringi w stylu podręcznika, ustrukturyzowane komentarze charakterystyczne dla wyników LLM oraz – co szczególnie wymowne – halucynacyjną ocenę CVSS, którą model wymyślił, a nie zaczerpnął z rzeczywistej bazy. Badacz-człowiek nie pisze takich artefaktów. To sygnatura maszyny.

Chronologia i kontekst

Wydarzenia maja 2026 roku nie powstały w próżni. Poprzedziły je miesiące eskalacji na wszystkich frontach.

Google AdInline article slot

Sierpień 2025: ESET wykrywa PromptLock – pierwsze w historii oprogramowanie ransomware sterowane przez AI, wykorzystujące modele generatywne do dostosowywania żądań do ofiary. Branża po raz pierwszy widzi GenAI nie jako narzędzie programistyczne, ale jako część wykonywalnego kodu złośliwego oprogramowania.

Styczeń 2026: Pierwsze próbki trojana VNCSpy dla Androida zostają przesłane do VirusTotal z Hongkongu. Kod jest na razie prymitywny – klasyczny backdoor VNC bez komponentu AI.

Luty 2026: Zaledwie miesiąc później – skok jakościowy. Pojawia się PromptSpy, ewolucja VNCSpy, z wbudowanym modułem interakcji z Gemini. Teraz złośliwe oprogramowanie wykorzystuje API Google do interpretacji interfejsu zainfekowanego urządzenia i autonomicznej nawigacji po ekranie. ESET odnotowuje próbki przesłane już z Argentyny. Mechanizm działa tak: trojan wykonuje zrzut ekranu XML, wysyła go do Gemini z instrukcją „jesteś asystentem automatyzacji Androida”, otrzymuje odpowiedź JSON ze współrzędnymi dotknięć i je wykonuje. Cykl powtarza się, aż zadanie zostanie wykonane.

Google AdInline article slot

Równolegle Google publikuje lutowy raport GTIG, w którym po raz pierwszy odnotowuje: grupy państwowe KRLD i ChRL używają AI we wszystkich fazach ataków – od rozpoznania po post-kompromitację. Północnokoreańska APT45 przepuszcza przez AI tysiące exploitów w celu walidacji i skalowania arsenału.

Marzec 2026: Grupa TeamPCP kompromituje LiteLLM – popularną bibliotekę bramową do pracy z LLM – poprzez zatrute pakiety PyPI i złośliwe pull requesty. Dane uwierzytelniające AWS i GitHub trafiają do przestępców i są monetyzowane poprzez partnerstwa z ransomware. To nowy wektor: atakować nie sam model, ale warstwę integracji wokół niego.

Maj 2026: Raport GTIG opublikowany 12 maja krystalizuje obraz. Oprócz zero-day, odnotowuje się w nim: użycie narzędzi agentowych takich jak OpenClaw przez chińską grupę UNC2814 do ciągłego skanowania japońskiej firmy technologicznej; persona-driven jailbreak do wyciągania z LLM luk pre-auth RCE w oprogramowaniu układowym TP-Link; rosyjskie operacje wpływu z syntetycznym audio wciętym w rzeczywiste materiały informacyjne.

To już nie są pojedyncze incydenty, ale wzorzec.

Kto wygrywa, a kto przegrywa

Przegrywają – oczywiście – wszyscy, którzy administrują infrastrukturą internetową. Znika okno między ujawnieniem luki a rozpoczęciem ataków. Fortinet w równoległym raporcie odnotowuje: obecnie próby eksploatacji rozpoczynają się w ciągu 24-48 godzin po ujawnieniu, podczas gdy wcześniej średni wskaźnik wynosił 4,76 dnia. W ciągu roku liczba ofiar ransomware wzrosła o 389% – z 1600 do 7831. To świat, w którym łatki trzeba stosować w dniu publikacji CVE, a nie w tygodniowym SLA.

Przegrywa ekosystem open source. Atak był wymierzony w otwarte narzędzie administracyjne. Luka semantyczna, którą znalazło AI – semantyczna wada logiczna, gdzie programista wbudował założenie o zaufaniu w przepływ uwierzytelniania, tworząc sprzeczność z logiką 2FA. Tradycyjne skanery szukają przepełnień bufora i wyścigów wątków. Nie czytają kodu jak człowiek. LLM czyta właśnie tak – i znajduje błędy w intencji, a nie w składni.

Przegrywają producenci telefonów. PromptSpy nie potrzebuje konkretnych współrzędnych do naciśnięcia przycisku „przypnij w pamięci” na Androidzie. Pyta Gemini, a model rozumie: na Samsungu blokowanie aplikacji odbywa się przez długie dotknięcie, na Xiaomi – przeciągnięcie w dół, na Pixelu – ikona kłódki. To samo złośliwe oprogramowanie działa na wszystkich.

Wygrywa Google. Ironicznie, firma, której model Gemini jest wykorzystywany przez PromptSpy, zyskuje na całej sytuacji. GTIG zwiększa kapitał reputacyjny, demonstrując zdolność do przechwytywania ataków sterowanych przez AI na wczesnym etapie. Narzędzia ochrony takie jak Big Sleep do wyszukiwania luk i CodeMender do ich automatycznego naprawiania zyskują dowody na zapotrzebowanie.

Wygrywają przestępcy gotowi do automatyzacji. Fortinet odnotowuje: próby brute-force spadły o 22%, ale próby eksploatacji wzrosły o 25,49%. To nie spadek aktywności, ale przesunięcie od ilości do jakości. Dostęp do narzędzi takich jak WormGPT, FraudGPT i HexStrike AI obniża próg wejścia, a dane skradzione przez infostealery (RedLine, Lumma, Vidar) – już 67% wszystkich sprzedawanych zestawów danych na darknecie – dostarczają paliwa do ataków ukierunkowanych.

Czego media nie dopowiadają

Wgląd pierwszy: luka nie jest techniczna, ale semantyczna – i to jest problem nuklearny. Przez wszystkie trzydzieści lat istnienia branży cyberbezpieczeństwa budowaliśmy ochronę wokół wyszukiwania błędów składniowych. Fuzzer szuka crasha. Analizator statyczny szuka wzorca. Żadne z nich nie zauważa logicznej sprzeczności między zamysłem programisty a implementacją. LLM zauważa – ponieważ widzi semantykę, kontekst, intencję. Oznacza to, że w każdym projekcie z historią dłuższą niż pięć lat leżą niezauważone luki logiczne, których nie widzi żadne tradycyjne narzędzie. Zero-day znaleziony przez AI to nie wyjątek, to początek gorączki złota.

Wgląd drugi: użycie AI w celach przestępczych czyni złośliwe oprogramowanie nieprzewidywalnym, a zatem – niewidzialnym dla antywirusów. Tradycyjny antywirus szuka sygnatur, wzorców behawioralnych, znanych sekwencji wywołań API. Ale jeśli każda instancja PromptSpy dynamicznie podejmuje decyzje na podstawie odpowiedzi LLM, jej zachowanie jest zmienne w zakresie nieobjętym żadną możliwą bazą reguł. ESET złapał PromptSpy po fladze debugowania w kodzie. Następnym razem flaga zostanie usunięta – a wykrycie stanie się o rząd wielkości trudniejsze.

Wgląd trzeci: cel nie tkwi w narzędziu, ale w samym AI. Atak LiteLLM grupy TeamPCP pokazuje nowy model zagrożenia. Kompromitacja biblioteki bramowej pozwala przechwytywać dane uwierzytelniające wszystkich, którzy używają LLM przez to narzędzie. To atak na łańcuch dostaw infrastruktury wokół modeli. Jeśli przestępca uzyska dostęp do kluczy API dostawcy LLM, będzie mógł używać cudzej płatnej subskrypcji do skalowania własnych ataków, całkowicie ukrywając swoje ślady. GTIG wprost wskazuje: przestępcy opracowują profesjonalne oprogramowanie pośredniczące do anonimowego dostępu do modeli premium z automatyczną rotacją kont.

Wgląd czwarty: pierwszy odnotowany zero-day to błąd przestępców, a nie triumf ochrony. Google znalazł exploit po artefaktach braku doświadczenia: halucynacyjnym CVSS, „edukacyjnych” komentarzach. Kolejne iteracje nie będą zawierać tych znaczników. Odnotowano już przypadki użycia OpenClaw do udoskonalania exploitów generowanych przez AI w kontrolowanych środowiskach przed wdrożeniem. To industrializacja procesu: kod roboczy pisze LLM, człowiek go sprawdza i czyści z artefaktów.

Prognoza: następne 30 dni i 90 dni

30 dni (do połowy czerwca 2026 roku). Publikacja raportu Google wywoła falę audytów w branży oprogramowania open source. Projekty obsługujące interfejsy administracyjne WWW zaczną otrzymywać zgłoszenia błędów nietypowego typu: „AI znalazło logiczną sprzeczność w linii 847”. Twórcy mainstreamowych projektów (Jenkins, Grafana, GitLab) zainicjują wewnętrzne przeglądy właśnie luk semantycznych – tej klasy, której wcześniej nikt systematycznie nie szukał.

Jednocześnie na forach podziemia nastąpi przewartościowanie cen. Gotowe exploity z „halucynacjami” w kodzie będą dyskontowane, ale wzrośnie popyt na specjalistów zdolnych do czyszczenia kodu generowanego przez AI z artefaktów. Pojawi się nowa mikro-specjalizacja w ekosystemie przestępczym: „sanitizer exploitów AI”.

Spodziewam się, że w ciągu 30 dni co najmniej jeden duży dostawca (Microsoft, Cisco lub Palo Alto) ogłosi włączenie analizy semantycznej opartej na LLM do swoich skanerów kodu. Będzie to bezpośrednia odpowiedź na zagrożenie opisane przez GTIG.

90 dni (do połowy sierpnia 2026 roku). Luki semantyczne staną się mainstreamowym wektorem. Dziś mówi o nich tylko Google. Za trzy miesiące pojawią się niezależne badania FireEye, CrowdStrike i grup akademickich, katalogujące typy błędów logicznych, które LLM znajduje lepiej niż człowiek. Do sierpnia zostanie odnotowanych co najmniej 5-7 CVE znalezionych przy użyciu AI – zarówno przez obrońców, jak i przestępców.

Latem 2026 roku na Black Hat i DEF CON temat odkrywania luk napędzanego przez AI będzie dominować w agendzie. Spodziewam się co najmniej jednej prezentacji z demonstracją automatycznego potoku: LLM znajduje lukę, framework agentowy generuje exploit, inny agent czyści artefakty, trzeci wdraża atak. Nie jako proof-of-concept, ale jako działający łańcuch.

Najbardziej nieprzyjemne: model monetyzacji skradzionych danych ostatecznie przesunie się w stronę analizy AI. Infostealery już dostarczają 67% zawartości podziemnych baz danych. Do tego dojdzie automatyczna kategoryzacja i priorytetyzacja ofiar za pomocą LLM: „oto firma z otwartym RDP i przestarzałym vCenter – prawdopodobieństwo zapłaty okupu 78%, zalecana kwota – 400 000 dolarów”. To wyniesie ransomware na nowy poziom efektywności ekonomicznej.

Podsumowanie. 12 maja 2026 roku odnotowało to, przed czym ostrzegano od lat: pierwszy zero-day wygenerowany przez AI. Ale to nie koniec, a początek. Wyścig się rozpoczął – i obrońcy będą musieli nauczyć się myśleć jak LLM, aby wyprzedzić tych, którzy już się nauczyli. John Hultquist z GTIG ujął to niezwykle jasno: „Istnieje błędne przekonanie, że wyścig luk AI jest nieunikniony. Rzeczywistość jest taka, że już trwa. Na każdy zero-day, który możemy prześledzić do AI, prawdopodobnie przypada wiele innych, których nie widzimy”.

— Editorial Team

Advertisement 728x90

Czytaj dalej