Investigadores del **Grupo de Inteligencia de Amenazas de Google (GTIG)** han descubierto evidencia que sugiere que un exploit de día cero dirigido a una herramienta de administración web de código abierto ampliamente utilizada fue desarrollado probablemente utilizando inteligencia artificial. El exploit, diseñado para eludir la autenticación de dos factores (2FA), fue detectado antes de que pudiera ser desplegado de forma generalizada. ### Desarrollo de Exploits Asistido por IA Según **GTIG**, la estructura y el contenido del código del exploit en Python sugieren fuertemente el uso de un modelo de IA en la identificación y explotación de la vulnerabilidad. "Por ejemplo, el script contiene una gran cantidad de docstrings educativos, incluyendo una puntuación **CVSS** alucinada, y utiliza un formato Pythonic estructurado y de libro de texto, muy característico de los datos de entrenamiento de los LLM", afirma el informe. El modelo de lenguaje grande (LLM) específico utilizado sigue siendo desconocido, pero **Google** ha descartado la participación de su propio modelo **Gemini**.  Evidencia adicional apunta a la naturaleza de la falla en sí: un error de lógica semántica de alto nivel, que los sistemas de IA son particularmente adeptos a identificar, a diferencia de los métodos tradicionales como el fuzzing o el análisis estático que típicamente descubren problemas de corrupción de memoria o sanitización de entrada. ### Acción Rápida y Mitigación **Google** notificó rápidamente al desarrollador del software afectado, permitiéndole tomar medidas rápidas para mitigar la amenaza y prevenir la explotación generalizada. "Por primera vez, **GTIG** ha identificado a un actor de amenazas que utiliza un exploit de día cero que creemos que fue desarrollado con IA", enfatizaron los investigadores de **GTIG**. ### Tendencia Más Amplia de la IA en el Cibercrimen Este incidente no es aislado. **Google** señala que grupos de hackers chinos y norcoreanos, incluyendo **APT27**, **APT45**, **UNC2814**, **UNC5673** y **UNC6201**, han estado aprovechando modelos de IA para el descubrimiento de vulnerabilidades y el desarrollo de exploits, basándose en tendencias observadas a principios de este año. También se ha observado a actores vinculados a Rusia utilizando código señuelo generado por IA para ofuscar malware como **CANFAIL** y **LONGSTREAM**.  **Google** también destacó "Overload", una operación rusa que emplea clonación de voz con IA para hacerse pasar por periodistas en campañas de desinformación dirigidas a Ucrania. El backdoor **PromptSpy** para **Android**, documentado por **ESET**, también fue mencionado por su integración con las API de **Gemini**, permitiendo la interacción autónoma con el dispositivo. Este malware utiliza un módulo "GeminiAutomationAgent" con un prompt codificado para eludir las funciones de seguridad y calcular la geometría de la interfaz de usuario para la interacción automatizada del dispositivo, incluyendo la repetición de patrones de autenticación o PINs. Los actores de amenazas están industrializando cada vez más el acceso a modelos de IA premium a través de la creación automatizada de cuentas, relés de proxy e infraestructura de agrupación de cuentas, según **Google**.