Впервые обнаружена уязвимость нулевого дня, созданная с помощью ИИ

Google сообщила о вероятном предотвращении массовой кибератаки с использованием AI-эксплойта

По данным GTIG, злоумышленники из КНР и КНДР проявляют особый интерес к ИИ для взлома

Аналитики Google назвали этот случай первым вещественным доказательством угрозы и «верхушкой айсберга»

Ни Gemini, ни Anthropic Mythos в атаке задействованы не были — речь о сторонней LLM

Теперь к растущему списку проблем, связанных с искусственным интеллектом, можно добавить полноценные киберпреступления. Google Threat Intelligence Group (GTIG) в своём свежем отчёте AI Threat Tracker от понедельника, 11 мая 2026 года, заявила, что впервые обнаружила злоумышленника, использующего эксплойт нулевого дня (zero-day), который, по её мнению, был разработан с помощью ИИ. Уязвимости нулевого дня традиционно являются самыми опасными: они неизвестны целям, оставляя им ноль дней на подготовку к атаке. 🚨

Логотип Google и тема кибербезопасности — Google GTIG обнаружила первый AI-разработанный zero-day эксплойтMichael Vi/Shutterstock

Google сообщила в отчёте, что злоумышленник планировал использовать находку в «массовой эксплуатационной операции», но проактивное обнаружение GTIG «возможно, предотвратило его применение». В отчёте не указана конкретная цель атаки, однако сказано, что Google уведомила неназванную компанию-вендора, которая впоследствии устранила уязвимость патчем до начала кампании. Личность злоумышленников Google также не раскрыла, но Джон Халтквист уточнил CyberScoop, что у группы «сильный послужной список громких инцидентов и массовых эксплуатаций» — то есть это хорошо известный в индустрии актор.

Что именно нашли в Google GTIG ⚙️

Согласно отчёту, исследователи нашли конкретный Python-скрипт, позволяющий обходить двухфакторную аутентификацию (2FA) на одном из популярных open-source инструментов для веб-администрирования систем. Название самого инструмента Google умолчала — чтобы не дать другим злоумышленникам сориентироваться до распространения патча. Ключевые характеристики уязвимости:

  • Тип: обход 2FA на стороне сервера — критическая брешь в логике аутентификации;
  • Требование: валидные учётные данные пользователя — без них эксплойт неработоспособен;
  • Природа: семантическая логическая ошибка высокого уровня«захардкоженное предположение о доверии», противоречащее самой логике 2FA;
  • Платформа: Python-скрипт против web-based system administration tool;
  • Этап раскрытия: responsible disclosure — Google связалась с вендором, тот выпустил исправление до начала кампании.

Особый интерес представляет именно природа ошибки: по словам исследователей GTIG, фронтирные LLM с трудом разбираются в сложной enterprise-логике авторизации, но отлично улавливают противоречия между объявленным намерением кода и его реализацией — то есть умеют «читать намерение разработчика» и сопоставлять его с захардкоженными исключениями.

Как поняли, что эксплойт писал ИИ 🔍

Главная интрига отчёта — не сам факт обнаружения 2FA-бэкдора, а то, как Google поняла, что код почти наверняка сгенерирован LLM. Сам эксплойт выглядел подозрительно «машинным» и оставлял в коде характерные «отпечатки», нехарактерные для рукописного эксплойт-кода:

  • 🐍 Обилие образовательных docstrings — Python-документации внутри функций, которая объясняет работу скрипта будто читателю с курсов по программированию;
  • 📊 Галлюцинированный CVSS-рейтинг — несуществующий числовой балл серьёзности уязвимости, который модель придумала на ходу;
  • 📚 Учебниковый Pythonic-формат — типичный для обучающих датасетов LLM «чистый» код с идеальными отступами, type hints и комментариями;
  • 🆘 Детальные help-меню — справки и подсказки, которые человек-эксплойтер вряд ли стал бы оформлять в боевом коде;
  • 🎨 Класс «_C» ANSI color — чистый служебный класс для цветного вывода в терминал. По данным GTIG, это «сильнейший характеристический признак» данных, на которых обучаются LLM.

По совокупности признаков Google имеет «высокую уверенность» (high confidence), что злоумышленник использовал модель ИИ как для обнаружения, так и для weaponization (превращения уязвимости в рабочий инструмент атаки). Что характерно, в коде нашли и ошибки реализации — именно они, по предположению GTIG, могли помешать злоумышленникам выполнить план полноценно.

Какие модели задействованы (и какие — нет) 🤖

Google прямо исключает причастность двух фронтирных LLM:

  • Google Gemini — собственная модель Google, по чьим логам компания проверила запросы и не нашла связи с этой кампанией;
  • Anthropic Mythos — модель Anthropic, упомянутая отдельно в материале The Register со ссылкой на заявление Google.

Тем не менее, GTIG ранее наблюдала попытки злоумышленников злоупотребить Gemini для исследования уязвимостей. В частности, китайская группа кибершпионажа UNC2814 пробовала обходить guardrails Gemini, направляя модель промптами в роль «эксперта по безопасности встраиваемых устройств». Похожие наблюдения, по данным CSO Online, есть у других фронтирных AI-лабораторий, включая Anthropic и OpenAI.

Контекст: государственные группы и AI-угрозы по всему миру 🌐

Случай с 2FA-эксплойтом — лишь один из множества кейсов в отчёте GTIG. Картина, которую обрисовывает Google, выглядит так:

  • 🇰🇵 Северная Корея. Группа APT45 применяет ИИ для проверки тысяч эксплойтов и автоматического наращивания арсенала под массовые атаки;
  • 🇨🇳 Китай. Государственные операторы экспериментируют с AI для поиска уязвимостей и автоматизированного сканирования целей. Группа UNC5673 (TEMP.Hex) использует публичные коммерческие инструменты и GitHub-проекты для scalable LLM abuse;
  • 🇷🇺 Россия. Замечены два семейства вредоносного ПО — CANFAIL и LONGSTREAM, в которых AI-сгенерированный decoy-код маскирует вредоносные функции. В CANFAIL прямо встречаются комментарии модели, описывающие блоки как «неиспользуемый филлер»;
  • 📱 Android-бэкдоры. Используют Gemini API для автономной навигации по заражённым устройствам;
  • 🎙️ Информационные операции. Российские группы вшивают AI-сгенерированное аудио в подлинные новостные кадры, имитируя голоса публичных фигур;
  • 🧰 Атаки на цепочку поставок AI. В марте 2026 года группа TeamPCP / UNC6780 скомпрометировала несколько GitHub-репозиториев, включая LiteLLM AI gateway и сканер уязвимостей Trivy. В сборки внедрили credential stealer SANDCLOCK, который вытаскивал AWS-ключи и GitHub-токены;
  • 🕳️ Теневые API. По данным мартовского исследования CISPA Helmholtz Center for Information Security, в сети обнаружено 17 «теневых» API-сервисов, предлагающих доступ к коммерческим моделям в обход региональных ограничений. Параллельно работает серый рынок API-relay платформ, через которые китайские разработчики получают доступ к Anthropic Claude и Gemini в обход политики использования.

Защита: как Google использует ИИ против ИИ 🛡️

В отчёте Google подчёркивает, что «ИИ может быть мощным инструментом и для защитников». Компания указывает на две собственные инициативы, обе уже принёсшие результаты:

  • Big Sleep — AI-агент, разработанный Google DeepMind совместно с Project Zero. Он самостоятельно ищет неизвестные уязвимости в ПО. В конце 2024 года Big Sleep нашёл свою первую реальную уязвимость, а позже помог обнаружить ещё одну — ту, что злоумышленники уже собирались эксплуатировать (GTIG успела отрезать им доступ);
  • CodeMender — экспериментальный AI-агент для патчинга, который использует возможности продвинутого рассуждения моделей Gemini, чтобы автоматически закрывать критические уязвимости в коде. По задумке Google, связка Big Sleep + CodeMender создаёт замкнутый защитный контур: один ищет, другой чинит.

По мнению Google, такой асимметричный подход — обязательный ответ на нарастающую сложность AI-эксплойтов: защита должна автоматизироваться так же быстро, как атака.

Что говорят аналитики GTIG 💬

Главный аналитик GTIG Джон Халтквист (John Hultquist) в комментариях для The New York Times, CyberScoop и Help Net Security описал ситуацию максимально откровенно:

  • «Это «вкус того, что нас ждёт» и «верхушка айсберга»» — про текущий кейс как ранний пример;
  • «Мы наконец нашли некие доказательства того, что это происходит» — про долгие предупреждения индустрии об AI-эксплойтах;
  • «Игра уже началась, и мы ожидаем, что траектория развития возможностей довольно крутая» — про темпы прогресса;
  • «Мы ожидаем, что это станет намного большей проблемой — и что появятся куда более разрушительные zero-day атаки, особенно по мере роста возможностей моделей» — про прогноз на следующие месяцы;
  • «Киберпреступники используют zero-day, как правило, в быстрых массовых эксплуатациях — затяжное применение для них непрактично, поэтому ставят на быстрое развёртывание» — про логику выбора zero-day именно в этом сценарии.

Контекст: эта публикация — не разовая. Ещё в феврале 2026 года GTIG в своём отчёте предупреждала о «созревающей» AI-угрозе. Май 2026 — момент, когда эти прогнозы стали конкретным инцидентом, а не теоретическим риском.

Что это значит для рядового пользователя 🎯

Краткий вывод для тех, кто не сидит в SOC:

  • Парольная гигиена резко важнее. Эксплойт требовал валидных учётных данных, то есть фишинг и утечки паролей становятся ещё опаснее — следующий шаг после получения логина теперь может быть автоматизирован LLM;
  • 2FA — не серебряная пуля. Семантические ошибки в реализации 2FA обнаруживаются ИИ быстрее, чем разработчики успевают их закрывать. Используйте аппаратные ключи (FIDO2 / passkeys), где это возможно;
  • Окно для патчинга сжимается. Когда уязвимость обнаруживается AI-агентом, у атакующей и защищающейся стороны почти одинаковые часы на реакцию. Откладывать обновления open-source инструментов сейчас особенно рискованно;
  • Доверяйте источникам моделей. Использование «теневых» прокси-API к Claude и Gemini — это не только нарушение TOS, но и прямая утечка ваших промптов и данных владельцам этих сервисов.

Эра, в которой злоумышленники и защитники одинаково вооружены ИИ, наступила официально — и, как намекает Халтквист, мы видим только её самое начало.