O Grupo de Inteligência de Ameaças do Google (GTIG) interrompeu um exploit de dia zero projetado para contornar a autenticação de dois fatores em uma ferramenta administrativa de código aberto. Os pesquisadores detectaram que atores de cibercrime planejavam um ataque em massa, e as pistas sobre o envolvimento de inteligência artificial incluíram uma pontuação CVSS inventada e um formato de texto altamente estruturado.
O exploit e as marcas de um modelo de linguagem 🧠
Os analistas do GTIG identificaram que o código malicioso explorava uma vulnerabilidade desconhecida para burlar a verificação em duas etapas. O que chamou a atenção foi a presença de uma pontuação CVSS alucinada, um erro típico quando um modelo de linguagem gera dados sem validação. Além disso, o formato do relatório técnico associado ao exploit mostrava uma estrutura e redação muito semelhantes às saídas de assistentes de IA, o que levou os pesquisadores a concluir que a inteligência artificial participou do seu desenvolvimento.
Nem o ChatGPT passou no teste de segurança 🤖
Parece que os cibercriminosos pediram ajuda à IA para criar seu exploit, mas o assistente devolveu um relatório com uma pontuação de risco inventada. Ou seja, a IA fez o trabalho, mas inventou os deveres de casa. Ainda bem que o Google percebeu, porque senão, a ferramenta de código aberto precisaria de algo mais do que um simples CAPTCHA para se proteger dessa bagunça digital.