Hackers gebruiken AI om beveiligingslekken te ontdekken die geen enkele scanner kan detecteren, waarschuwt Google
Hackers gebruiken AI om beveiligingsfouten te vinden die geen enkele scanner kan opmerken, waarschuwt Google
Voor het eerst hebben hackers kunstmatige intelligentie gebruikt om een beveiligingsfout te vinden en te exploiteren die geen enkele automatische scanner had opgemerkt – en Google meldt dat alleen hun actieve monitoring een massale aanval heeft kunnen voorkomen.
Kunstmatige intelligentie heeft het gemakkelijker gemaakt om e-mails te schrijven, spreadsheets te genereren en vakanties te plannen, wat de brede populariteit van verschillende AI-modellen bevestigt.
Volgens een recent rapport van Google is het ook aanzienlijk gemakkelijker geworden om eerder niet in kaart gebrachte of onvoorspelbare gaten in de software van onze systemen te ontdekken. De Threat Intelligence Group van Google meldde dat ze voor het eerst hackers hebben betrapt die AI gebruiken om een zogenaamde zero-day kwetsbaarheid te ontdekken en te exploiteren. Dit is een beveiligingsfout die de ontwikkelaar van de software nog niet kent en waarvoor geen oplossing beschikbaar is.
Het doelwit was een populair webgebaseerd systeem voor systeembeheer en de kwetsbaarheid stelde aanvallers in staat om de tweefactorauthenticatie te omzeilen, de tweede beveiligingslaag waarvan de meeste mensen geloven dat deze hun accounts veilig houdt. Google merkte de aanval op voordat deze op grote schaal kon worden uitgevoerd en waarschuwde stilletjes de softwareleverancier.
“De criminele dreiging was van plan deze kwetsbaarheid te gebruiken in een massale exploitatie, maar onze proactieve ontdekking heeft mogelijk het gebruik ervan voorkomen,” staat in het rapport. “Dreigingsactoren die geassocieerd zijn met de Volksrepubliek China (PRC) en de Democratische Volksrepubliek Korea (DPRK) hebben ook aanzienlijke interesse getoond in het benutten van AI voor het ontdekken van kwetsbaarheden.”
De zero-day kwetsbaarheid is geen conventionele fout. Traditionele beveiligingsscanners zoeken naar crashes en geheugenfouten, het software-equivalent van een spellingscontrole die op zoek is naar de digitale versie van een typfout – maar deze kwetsbaarheid was verborgen in de logica van de code, een subtiele hardcoded aanname van de ontwikkelaar die geen enkele automatische scanner zou hebben opgemerkt. Het is het soort fout waarbij alles er op het oppervlak correct uitziet, maar de onderliggende redenering gebroken is.
Dit is precies het soort contradictie dat AI goed kan vinden. “Frontier LLM’s excelleren in het identificeren van deze soorten high-level fouten en hardcoded statische anomalieën,” vervolgde het rapport. Hoewel frontier LLM’s moeite hebben met het navigeren door complexe autorisatielogica in bedrijven, “hebben ze een toenemende capaciteit om contextuele redenering uit te voeren… en [de tegenstrijdigheden van de hardcoded uitzonderingen te vangen],” concludeerde het.
Deze capaciteit kan modellen in staat stellen om slapende logische fouten aan het licht te brengen die functioneel correct lijken voor traditionele scanners, maar gebroken zijn vanuit een beveiligingsperspectief.
Terwijl de zero-day kwetsbaarheid de belangrijkste bevinding was, is het volledige rapport ongemakkelijke lectuur. Door de staat gesponsorde hackers uit China en Noord-Korea gebruiken AI om op industriële schaal naar kwetsbaarheden te jagen, waarbij ze geautomatiseerde prompts versturen om te zoeken naar zwakheden in alles, van thuisrouters tot bedrijfsnetwerken.
Google observeerde een Noord-Koreaans groep die “duizenden repetitieve prompts verzond die verschillende CVE’s recursief analyseerden en PoC-exploits valideerden”, en een “robuster arsenaal van exploitcapaciteiten bouwde dat onpraktisch zou zijn om zonder AI-assistentie te beheren.” Groepen die aan Rusland zijn gelinkt, gebruiken ondertussen AI om malware te ontwikkelen die zichzelf on-the-fly herschrijft om detectie te vermijden, een capaciteit die eerder aanzienlijke menselijke expertise vereiste.
AI transformeert ook phishing. In plaats van generieke e-mails massaal te versturen, gebruiken aanvallers nu AI om bedrijfsstructuren in kaart te brengen en specifieke doelwitten te identificeren met toegang tot gevoelige gegevens en genereren “hoger-fideliteits phishing-lokken die zijn afgestemd op individuen met administratieve privileges”, volgens de woorden van het rapport, die ver voorbij gaan aan “de gangbare tactieken van traditionele bulkphishing.”
De bredere verschuiving, waarschuwt Google, is van AI als een onderzoekstool naar AI als een soort actieve deelnemer in de beveiligingssfeer. “De LLM is niet langer slechts een passieve adviseur, maar een actieve deelnemer in de offensieve keten, in staat om complexe toolsets te orkestreren en tactische beslissingen te nemen met machinesnelheid.”
De eigen AI-tools van Google hebben de zero-day kwetsbaarheid opgemerkt voordat deze schade kon aanrichten, wat de positieve kant is van deze situatie. Het bedrijf zet zelf AI-agenten in om kwetsbaarheden sneller te vinden en te verhelpen dan menselijke teams zouden kunnen doen.
