استغلال اليوم الصفري هز الأمن من خلال استغلال خطأ منطقي في نظام التحقق بخطوتين (2FA). كانت الثغرة تكمن في افتراض مبرمج، الذي وثق بشكل أعمى في عملية التحقق. أكدت جوجل أنها أول حالة يعثرون فيها على دليل على استخدام الذكاء الاصطناعي في الهجوم، رغم أنهم أوضحوا أنه لم يتم استخدام نموذجهم Gemini.
الخلل الفني: ثقة في غير محلها في الكود 🛡️
نشأ الخطأ عندما افترض المبرمج أن العامل الثاني لا يُقهر ولم يتحقق بشكل صحيح من الرموز المميزة. استغل المهاجمون هذا المنطق المعيب لتجاوز المصادقة دون الحاجة إلى اعتراض رموز SMS أو التطبيقات. كشف التحليل الجنائي لجوجل عن أنماط سلوكية آلية، مما يشير إلى أن الذكاء الاصطناعي استُخدم لتحديد وتكرار تدفق التحقق، ولكن ليس لتوليد المحتوى أو التفاعل المباشر مع النظام.
الذكاء الاصطناعي ضد 2FA: عندما تضحك الآلة على رمزك 🤖
اتضح أن الذكاء الاصطناعي لم يأتِ ليسرق وظيفتك، بل ليتجاوز عامل المصادقة الثنائي الخاص بك. بينما كنت تتعرق بحثًا عن الرمز في هاتفك المحمول، كان الذكاء الاصطناعي قد استنتج بالفعل أن النظام يثق بك دون أن يسأل مرتين. على الأقل، يمكننا أن نواسي أنفسنا: لم يكن Gemini هو من اخترقك، بل مجرد ذكاء اصطناعي مجهول، مثل الجار الطيب، كان يعلم أن الباب مفتوح.