Il Gruppo di Intelligence sulle Minacce di Google (GTIG) ha bloccato un exploit zero-day progettato per eludere l'autenticazione a due fattori in uno strumento amministrativo open source. I ricercatori hanno rilevato che attori della criminalità informatica pianificavano un attacco massiccio, e gli indizi sul coinvolgimento dell'intelligenza artificiale includevano un punteggio CVSS inventato e un formato di testo altamente strutturato.
L'exploit e le tracce di un modello linguistico 🧠
Gli analisti del GTIG hanno identificato che il codice malevolo sfruttava una vulnerabilità sconosciuta per bypassare la verifica in due passaggi. Ciò che ha attirato l'attenzione è stata la presenza di un punteggio CVSS allucinato, un errore tipico quando un modello linguistico genera dati senza validarli. Inoltre, il formato del rapporto tecnico associato all'exploit mostrava una struttura e una formulazione molto simili agli output degli assistenti IA, portando i ricercatori a concludere che l'intelligenza artificiale ha partecipato al suo sviluppo.
Nemmeno ChatGPT ha superato l'esame di sicurezza 🤖
Sembra che i criminali informatici abbiano chiesto aiuto all'IA per creare il loro exploit, ma l'assistente ha restituito loro un rapporto con un punteggio di rischio inventato. Insomma, l'IA ha fatto il lavoro, ma si è inventata i compiti. Meno male che Google l'ha scoperto, perché altrimenti lo strumento open source avrebbe avuto bisogno di qualcosa di più di un semplice CAPTCHA per proteggersi da questo pasticcio digitale.