O Google revelou ter identificado, pela primeira vez, um exploit zero-day que acredita ter sido desenvolvido com auxílio de inteligência artificial. A descoberta foi divulgada em um novo relatório publicado pela companhia sobre o uso de IA no cenário atual de ameaças cibernéticas.

O documento reúne observações do Google Threat Intelligence Group (GTIG), Gemini e Mandiant sobre como grupos criminosos e atores patrocinados por Estados estão utilizando modelos de IA para aprimorar operações ofensivas, acelerar pesquisas de vulnerabilidades e automatizar etapas de ataques.

Segundo o relatório, um grupo cibercriminoso utilizou IA para desenvolver um exploit voltado à evasão de autenticação multifator (2FA) em uma ferramenta open source de administração de sistemas baseada na web. O código foi implementado em Python e apresentava características consideradas típicas de conteúdo gerado por grandes modelos de linguagem (LLMs).

Embora o Google afirme não acreditar que o Gemini tenha sido utilizado diretamente no desenvolvimento, a empresa informou possuir “alto grau de confiança” de que um modelo de IA foi empregado para auxiliar tanto na descoberta quanto na weaponização da vulnerabilidade.

Entre os indícios apontados pela companhia estão a presença excessiva de docstrings educacionais no código, menus de ajuda extremamente detalhados, estrutura padronizada típica de exemplos didáticos e até mesmo informações inexistentes, como uma pontuação CVSS “alucinada” pelo modelo.

O Google não revelou o nome do grupo responsável nem a ferramenta explorada, mas informou ter trabalhado junto ao fornecedor afetado para impedir uma exploração em larga escala da vulnerabilidade.

IA acelera operações ofensivas

O relatório também destaca o aumento do interesse de grupos ligados à China e à Coreia do Norte no uso de IA para atividades ofensivas.

Um dos casos citados envolve o grupo chinês UNC2814, conhecido por atacar organizações governamentais e empresas de telecomunicações. Segundo o Google, os operadores utilizaram técnicas de “persona-driven jailbreak”, instruindo o modelo de IA a agir como um auditor sênior de segurança para aprimorar pesquisas de vulnerabilidades em dispositivos embarcados, incluindo firmwares TP-Link.

Já o grupo norte-coreano rastreado como APT45 teria enviado milhares de prompts repetitivos para automatizar análises de CVEs e validar provas de conceito de exploits.

Além disso, o relatório aponta o uso crescente de ferramentas autônomas baseadas em IA para descoberta de vulnerabilidades, evasão de defesas, operações de malware e ataques à cadeia de suprimentos.

Cenário preocupa especialistas

A descoberta reforça uma preocupação crescente no setor de cibersegurança: a inteligência artificial está reduzindo barreiras técnicas e acelerando o desenvolvimento de capacidades ofensivas que antes exigiam alto grau de especialização.

Com IA, grupos criminosos conseguem automatizar tarefas complexas, otimizar pesquisas de vulnerabilidades e produzir exploits de forma mais rápida e escalável, aumentando o potencial de ataques sofisticados.

Para especialistas, o cenário exige fortalecimento das estratégias de defesa, incluindo monitoramento contínuo, gestão eficiente de vulnerabilidades, autenticação robusta e maior investimento em inteligência de ameaças e detecção avançada.

O relatório completo do Google também aborda operações autônomas de malware, evasão de defesa com apoio de IA, ataques à cadeia de suprimentos e a busca de grupos criminosos por acesso premium a modelos de linguagem avançados.