O echipă de cercetare din cadrul Google Threat Intelligence Group (GTIG) a descoperit o nouă generaţie de atacuri cibernetice, în care inteligenţa artificială este folosită pentru a crea malware capabil să se modifice singur, evitând astfel detectarea tradiţională.
Potrivit raportului publicat de Google, aceste programe maliţioase integrează modele lingvistice mari (LLM), precum Gemini, direct în codul lor, permiţându-le să-şi rescrie structura „din mers” – o tehnică pe care cercetătorii o numesc „just-in-time self-modification”.
Printre cele mai notabile exemple se află PromptFlux, un malware bazat pe VBScript, care foloseşte API-ul Gemini pentru a genera variante noi ale propriului cod, ascunzându-şi intenţiile reale. Acesta conţine un modul denumit Thinking Robot, ce trimite periodic solicitări către AI pentru a afla noi metode de evitare a detecţiei. Google a blocat accesul programului la infrastructura sa, însă existenţa sa demonstrează cât de rapid poate evolua criminalitatea cibernetică alimentată de AI.
Deşi PromptFlux este încă experimental, el confirmă potenţialul distructiv al combinaţiei dintre inteligenţa artificială şi atacurile informatice. Alte ameninţări similare, precum PromptSteal, QuietVault şi FruitShell, vizează colectarea de date, furtul de credenţiale sau accesul la distanţă pe dispozitive compromise.
Raportul arată şi că actori statali au început să exploateze modelele AI în scopuri maliţioase.
Grupuri chineze au folosit Gemini pentru identificarea vulnerabilităţilor şi redactarea de e-mailuri de phishing.
Gruparea iraniană MuddyCoast (UNC3313) a utilizat AI pentru dezvoltarea de malware, sub pretextul activităţilor academice.
Alte entităţi nord-coreene, precum Masan (UNC1069) şi Pukchong (UNC4899), s-au folosit de AI pentru furturi de criptomonede şi campanii de phishing bazate pe deepfake-uri.
În paralel, cercetătorii au descoperit o piaţă neagră dedicată instrumentelor AI pentru hacking, unde se vând aplicaţii şi servicii „malicious-as-a-service”. Acestea oferă funcţionalităţi precum generare de deepfake-uri, phishing automatizat, analiză de vulnerabilităţi şi chiar dezvoltare de malware cu acces API sau prin Discord.
Google avertizează că aceste inovaţii scad bariera tehnică pentru atacatorii cibernetici, permiţând chiar şi persoanelor fără experienţă să lanseze atacuri sofisticate. „Piaţa pentru instrumente AI rău intenţionate devine tot mai matură. Este doar o chestiune de timp până când aceste servicii vor înlocui complet metodele clasice de atac”, se arată în raport.
Compania afirmă că îşi adaptează modelele de securitate pentru a preveni abuzurile şi colaborează cu autorităţi internaţionale pentru a identifica actorii implicaţi.
Totuşi, mesajul final al raportului este unul de avertisment:
„Inteligenţa artificială poate accelera progresul uman, dar în mâinile greşite, devine cel mai periculos instrument de atac al erei digitale.”
