Pela primeira vez, piratas informáticos usaram IA para descobrir e explorar uma falha que nenhum scanner automático detetaria; a Google diz que só a sua monitorização ativa travou um ataque em massa
A inteligência artificial facilitou a escrita de emails, a criação de folhas de cálculo e o planeamento de férias, como demonstra a ampla popularidade dos vários modelos de IA.
PUBLICIDADE
PUBLICIDADE
Também tornou bastante mais fácil detetar falhas no software dos nossos sistemas que antes não estavam mapeadas ou eram impossíveis de prever, segundo um recente relatório da Google.
O Threat Intelligence Group da Google afirma ter detetado, pela primeira vez, piratas informáticos a usar IA para descobrir e explorar uma chamada vulnerabilidade de dia zero, uma falha de segurança que o programador do software ainda desconhece e para a qual não existe ainda correção.
Alvo foi uma popular ferramenta online de administração de sistemas e a falha permitia que os atacantes contornassem a autenticação de dois fatores, aquela segunda camada de segurança que muitos acreditam ser o que mantém as suas contas seguras.
A Google diz ter detetado o ataque antes de este ser lançado em larga escala e alertou discretamente o fornecedor do software.
"O autor da ameaça planeava utilizá-la numa campanha de exploração em massa, mas a nossa descoberta proativa pode ter impedido o seu uso", assinala o relatório.
"Agentes de ameaça associados à República Popular da China (RPC) e à República Popular Democrática da Coreia (RPDC) também demonstraram um interesse significativo em tirar partido da IA para descoberta de vulnerabilidades."
Falha passa despercebida aos programadores
A vulnerabilidade de dia zero não é uma falha convencional. Os scanners de segurança tradicionais procuram falhas e erros de memória, o equivalente, no software, a um corretor ortográfico à procura do equivalente digital de um erro tipográfico, mas esta vulnerabilidade estava enterrada na lógica do código, numa suposição subtil, incorporada pelo programador, que nenhum analisador automático teria detetado.
É o tipo de erro em que tudo parece correto à superfície, mas o raciocínio subjacente está errado. Imagine um cofre de banco com uma fechadura que funciona e, ainda assim, se abre para quem conhece a exceção, porque o projetista, sem se aperceber, a deixou lá.
É precisamente esse tipo de contradição que a IA consegue detetar bem. "Os LLM de fronteira, os grandes modelos de linguagem mais avançados, destacam-se na identificação deste tipo de falhas de alto nível e de anomalias estáticas incorporadas", prossegue o relatório.
Embora os LLM de fronteira tenham dificuldade em navegar por lógicas complexas de autorização em ambientes empresariais, "têm uma capacidade crescente de realizar raciocínios contextuais... e de apanhar as contradições das suas exceções rígidas", conclui.
Esta capacidade permite que os modelos façam vir à superfície erros lógicos adormecidos que para os scanners tradicionais parecem funcionar corretamente, mas que, do ponto de vista da segurança, estão comprometidos.
Mais do que um truque
Embora a vulnerabilidade de dia zero seja a principal conclusão, o relatório completo descreve um cenário preocupante.
Piratas informáticos chineses e norte-coreanos, apoiados pelos respetivos Estados, usam IA para procurar vulnerabilidades em escala industrial, enviando instruções automáticas para testar pontos fracos em tudo, desde routers domésticos a redes empresariais.
A Google observou um grupo norte-coreano "a enviar milhares de instruções repetitivas que analisam recursivamente diferentes CVE e validam exploits de prova de conceito", construindo aquilo que o relatório descreve como "um arsenal mais robusto de capacidades de exploração que seria impraticável gerir sem assistência de IA".
Grupos ligados à Rússia, por seu lado, usam IA para desenvolver software malicioso que se reescreve em tempo real para escapar à deteção, uma capacidade que antes exigia uma significativa especialização humana.
A IA também está a transformar o phishing. Em vez de dispararem emails genéricos em massa, os atacantes usam agora IA para mapear hierarquias empresariais, identificar alvos específicos com acesso a dados sensíveis e gerar "iscas de phishing de maior fidelidade, adaptadas a indivíduos com privilégios administrativos", nas palavras do relatório, que vão muito além "das táticas comuns do phishing massificado tradicional".
A mudança mais ampla, alerta a Google, passa de uma IA usada como ferramenta de investigação para uma IA que funciona como participante ativo no domínio da segurança.
"O LLM já não é apenas um conselheiro passivo, mas um participante ativo na cadeia ofensiva, capaz de coordenar conjuntos de ferramentas complexas e de tomar decisões táticas à velocidade das máquinas."
As próprias ferramentas de IA da Google sinalizaram a vulnerabilidade de dia zero antes de esta causar danos, o que é o lado menos negativo deste caso. A empresa está a recorrer a agentes de IA para detetar e corrigir vulnerabilidades mais depressa do que as equipas humanas conseguiriam.