Le Groupe de Renseignement sur les Menaces de Google (GTIG) a stoppé un exploit zero-day conçu pour contourner l'authentification à deux facteurs dans un outil administratif open source. Les chercheurs ont détecté que des acteurs de la cybercriminalité planifiaient une attaque massive, et les indices de l'implication de l'intelligence artificielle comprenaient un score CVSS inventé et un format de texte très structuré.
L'exploit et les traces d'un modèle de langage 🧠
Les analystes du GTIG ont identifié que le code malveillant exploitait une vulnérabilité inconnue pour contourner la vérification en deux étapes. Ce qui a attiré l'attention était la présence d'un score CVSS halluciné, une erreur typique lorsqu'un modèle de langage génère des données sans validation. De plus, le format du rapport technique associé à l'exploit présentait une structure et une rédaction très similaires aux sorties des assistants IA, ce qui a conduit les chercheurs à conclure que l'intelligence artificielle avait participé à son développement.
Même ChatGPT n'a pas réussi l'examen de sécurité 🤖
Il semble que les cybercriminels aient demandé l'aide de l'IA pour créer leur exploit, mais l'assistant leur a renvoyé un rapport avec un score de risque inventé. Bref, l'IA a fait le travail pour eux, mais elle a inventé les devoirs. Heureusement que Google l'a intercepté, car sinon, l'outil open source aurait eu besoin de bien plus qu'un simple CAPTCHA pour se protéger de ce désastre numérique.