Die Google Threat Intelligence Group (GTIG) hat einen Zero-Day-Exploit gestoppt, der entwickelt wurde, um die Zwei-Faktor-Authentifizierung in einem Open-Source-Verwaltungstool zu umgehen. Die Forscher entdeckten, dass Cyberkriminelle einen Massenangriff planten, und Hinweise auf die Beteiligung künstlicher Intelligenz umfassten eine erfundene CVSS-Bewertung und ein stark strukturiertes Textformat.
Der Exploit und die Spuren eines Sprachmodells 🧠
Die Analysten von GTIG identifizierten, dass der bösartige Code eine unbekannte Sicherheitslücke ausnutzte, um die Zwei-Faktor-Überprüfung zu umgehen. Was auffiel, war das Vorhandensein einer halluzinierten CVSS-Bewertung, ein typischer Fehler, wenn ein Sprachmodell Daten ohne Validierung generiert. Darüber hinaus zeigte das Format des mit dem Exploit verbundenen technischen Berichts eine Struktur und Formulierung, die den Ausgaben von KI-Assistenten sehr ähnlich war, was die Forscher zu dem Schluss führte, dass künstliche Intelligenz an seiner Entwicklung beteiligt war.
Nicht einmal ChatGPT hat die Sicherheitsprüfung bestanden 🤖
Es scheint, dass die Cyberkriminellen die KI um Hilfe bei der Erstellung ihres Exploits baten, aber der Assistent gab ihnen einen Bericht mit einer erfundenen Risikobewertung zurück. Mit anderen Worten: Die KI hat die Arbeit erledigt, aber die Hausaufgaben erfunden. Gut, dass Google es abgefangen hat, denn sonst hätte das Open-Source-Tool mehr als nur ein einfaches CAPTCHA gebraucht, um sich vor diesem digitalen Schlamassel zu schützen.