Pesquisadores do **Google Threat Intelligence Group (GTIG)** descobriram evidências que sugerem que um exploit zero-day visando uma ferramenta de administração web open-source amplamente utilizada foi provavelmente desenvolvido usando inteligência artificial. O exploit, projetado para contornar a autenticação de dois fatores (2FA), foi detectado antes que pudesse ser amplamente implantado. ### Desenvolvimento de Exploit Assistido por IA De acordo com o **GTIG**, a estrutura e o conteúdo do código Python do exploit sugerem fortemente o uso de um modelo de IA na identificação e desenvolvimento da vulnerabilidade. "Por exemplo, o script contém uma abundância de docstrings educacionais, incluindo uma pontuação **CVSS** alucinada, e usa um formato Pythonic estruturado e didático, altamente característico dos dados de treinamento de LLMs", afirma o relatório. O modelo de linguagem grande (LLM) específico utilizado permanece desconhecido, mas o **Google** descartou o envolvimento de seu próprio modelo **Gemini**.  Evidências adicionais apontam para a natureza da falha em si – um bug de lógica semântica de alto nível, que os sistemas de IA são particularmente adeptos a identificar, ao contrário de métodos tradicionais como fuzzing ou análise estática que geralmente descobrem problemas de corrupção de memória ou sanitização de entrada. ### Ação Rápida e Mitigação O **Google** notificou prontamente o desenvolvedor do software afetado, permitindo que eles tomassem medidas rápidas para mitigar a ameaça e prevenir a exploração generalizada. "Pela primeira vez, o **GTIG** identificou um ator de ameaça usando um exploit zero-day que acreditamos ter sido desenvolvido com IA", enfatizaram os pesquisadores do **GTIG**. ### Tendência Mais Ampla de IA no Cibercrime Este incidente não é isolado. O **Google** observa que grupos de hackers chineses e norte-coreanos, incluindo **APT27**, **APT45**, **UNC2814**, **UNC5673** e **UNC6201**, têm utilizado modelos de IA para descoberta de vulnerabilidades e desenvolvimento de exploits, construindo sobre tendências observadas no início deste ano. Atores ligados à Rússia também foram observados usando código de isca gerado por IA para ofuscar malware como **CANFAIL** e **LONGSTREAM**.  O **Google** também destacou "Overload", uma operação russa que emprega clonagem de voz por IA para se passar por jornalistas em campanhas de desinformação visando a Ucrânia. O backdoor **PromptSpy** para **Android**, documentado pela **ESET**, também foi mencionado por sua integração com APIs **Gemini**, permitindo a interação autônoma com o dispositivo. Este malware usa um módulo "GeminiAutomationAgent" com um prompt codificado para contornar recursos de segurança e calcular a geometria da UI para interação automatizada do dispositivo, incluindo a reprodução de padrões de autenticação ou PINs. Atores de ameaças estão industrializando cada vez mais o acesso a modelos de IA premium por meio de criação automatizada de contas, relays de proxy e infraestrutura de pooling de contas, de acordo com o **Google**.