Google entdeckt ersten KI-gestützten Zero-Day-Exploit

Zusammenfassung

Google hat nach eigenen Angaben erstmals einen Zero-Day-Exploit identifiziert, der mutmaßlich mithilfe künstlicher Intelligenz entwickelt wurde. Das Unternehmen stellte am Montag einen Bericht vor, der seine Beobachtungen zum Einsatz von KI in der Bedrohungslandschaft zusammenfasst. Grundlage sind Daten, die zuletzt von Gemini, der Google Threat Intelligence Group (GTIG) und Mandiant erhoben wurden. Zu den bemerkenswertesten Befunden zählt, dass eine prominente Cybercrime-Gruppe KI nutzte, um einen Zero-Day-Exploit zu entwickeln. Dieser sollte die Zwei-Faktor-Authentifizierung (2FA) eines quelloffenen, webbasierten Werkzeugs zur Systemadministration umgehen. Umgesetzt wurde der Exploit in einem Python-Skript. Weder die Hackergruppe noch das betroffene Werkzeug wurden von Google namentlich genannt. Das Unternehmen erklärte jedoch, es habe mit dem betroffenen Hersteller zusammengearbeitet, um eine massenhafte Ausnutzung zu verhindern — was offenbar das Ziel des Angreifers gewesen sei. Der Fall ist relevant, weil Google ihn als ersten dokumentierten Beleg dafür wertet, dass Angreifer KI gezielt zur Entdeckung und Bewaffnung einer Schwachstelle einsetzen.

Dass KI bei der Entwicklung des Exploits im Spiel war, leitet Google aus Struktur und Inhalt des Codes ab. „Obwohl wir nicht glauben, dass Gemini verwendet wurde, gehen wir auf Basis von Struktur und Inhalt dieser Exploits mit hoher Sicherheit davon aus, dass der Akteur wahrscheinlich ein KI-Modell genutzt hat, um die Entdeckung und Bewaffnung dieser Schwachstelle zu unterstützen“, erklärte das Unternehmen.

Als Indizien nennt Google unter anderem die auffällige Machart des Skripts: Es enthalte eine Fülle erklärender Docstrings, darunter einen halluzinierten CVSS-Wert, und folge einem strukturierten, lehrbuchartigen Python-Stil, der stark für Trainingsdaten großer Sprachmodelle charakteristisch sei — etwa detaillierte Hilfemenüs und eine sauber gestaltete Klasse für ANSI-Farbcodes.

Über diesen Einzelfall hinaus hebt Google hervor, dass staatlich unterstützte Akteure aus China und Nordkorea besonderes Interesse daran zeigten, KI für die Entdeckung von Schwachstellen einzusetzen. So sei ein mit China in Verbindung gebrachter Akteur dabei beobachtet worden, agentische Werkzeuge wie Strix und Hexstrike bei Angriffen auf ein japanisches Technologieunternehmen und ein großes ostasiatisches Cybersicherheitsunternehmen einzusetzen.

Die chinesische Gruppe UNC2814, bekannt für Angriffe auf Telekommunikations- und Regierungsorganisationen, nutzte laut Google einen personengestützten Jailbreak: Dabei wird die KI angewiesen, als leitender Sicherheitsauditor zu agieren, um die Schwachstellenforschung an eingebetteten Geräten zu verbessern — darunter TP-Link-Firmware mit OFTP-Implementierungen.

Die nordkoreanische Gruppe, die Google als APT45 führt, verschickte den Angaben zufolge tausende sich wiederholende Prompts, um CVEs rekursiv zu analysieren und Proof-of-Concept-Exploits zu validieren. „Das führt zu einem robusteren Arsenal an Exploit-Fähigkeiten, das ohne KI-Unterstützung kaum zu bewältigen wäre“, heißt es im Bericht.

Der vollständige Bericht behandelt darüber hinaus autonome Malware-Operationen, KI-gestützte Umgehung von Abwehrmaßnahmen, Angriffe auf Lieferketten sowie Bedrohungsakteure, die sich privilegierten Zugang zu großen Sprachmodellen verschaffen wollen.

Google entdeckt ersten KI-gestützten Zero-Day-Exploit

Ähnliche Artikel

Neueste Artikel