Les chercheurs de **Google Threat Intelligence Group (GTIG)** ont découvert des preuves suggérant qu'un exploit zero-day ciblant un outil d'administration web open-source largement utilisé a probablement été développé à l'aide de l'intelligence artificielle. L'exploit, conçu pour contourner l'authentification à deux facteurs (2FA), a été détecté avant de pouvoir être largement déployé. ### Développement d'exploits assisté par l'IA Selon **GTIG**, la structure et le contenu du code d'exploit Python suggèrent fortement l'utilisation d'un modèle d'IA pour identifier et exploiter la vulnérabilité. "Par exemple, le script contient une abondance de docstrings éducatives, y compris un score **CVSS** halluciné, et utilise un format Pythonique structuré et classique, très caractéristique des données d'entraînement des LLM", indique le rapport. Le modèle de langage large (LLM) spécifique utilisé reste inconnu, mais **Google** a exclu l'implication de son propre modèle **Gemini**.  D'autres preuves pointent vers la nature de la faille elle-même – un bug de logique sémantique de haut niveau, que les systèmes d'IA sont particulièrement aptes à identifier, contrairement aux méthodes traditionnelles comme le fuzzing ou l'analyse statique qui découvrent généralement des corruptions de mémoire ou des problèmes de validation des entrées. ### Action rapide et atténuation **Google** a rapidement informé le développeur du logiciel affecté, lui permettant de prendre des mesures rapides pour atténuer la menace et prévenir une exploitation généralisée. "Pour la première fois, **GTIG** a identifié un acteur de la menace utilisant un exploit zero-day que nous pensons avoir été développé avec l'IA", ont souligné les chercheurs de **GTIG**. ### Tendance plus large de l'IA dans la cybercriminalité Cet incident n'est pas isolé. **Google** note que des groupes de pirates chinois et nord-coréens, y compris **APT27**, **APT45**, **UNC2814**, **UNC5673** et **UNC6201**, exploitent des modèles d'IA pour la découverte de vulnérabilités et le développement d'exploits, s'appuyant sur les tendances observées plus tôt cette année. Des acteurs liés à la Russie ont également été observés utilisant du code de diversion généré par l'IA pour masquer des malwares tels que **CANFAIL** et **LONGSTREAM**.  **Google** a également mis en avant "Overload", une opération russe utilisant le clonage vocal par IA pour usurper l'identité de journalistes dans des campagnes de désinformation ciblant l'Ukraine. La backdoor **PromptSpy** pour **Android**, documentée par **ESET**, a également été mentionnée pour son intégration avec les API **Gemini**, permettant une interaction autonome avec les appareils. Ce malware utilise un module "GeminiAutomationAgent" avec un prompt codé en dur pour contourner les fonctionnalités de sécurité et calculer la géométrie de l'interface utilisateur pour une interaction automatisée avec l'appareil, y compris la relecture de modèles d'authentification ou de codes PIN. Les acteurs de la menace industrialisent de plus en plus l'accès aux modèles d'IA premium grâce à la création automatisée de comptes, aux relais proxy et à une infrastructure de mise en commun de comptes, selon **Google**.