Los investigadores de Google encontraron un exploit de día cero desarrollado por inteligencia artificial y alertaron al proveedor susceptible sobre la amenaza inminente antes de que un conocido grupo de cibercrimen iniciara una campaña de explotación masiva, dijo la compañía en un informe publicado el lunes.

El desastre evitado probablemente no sea la primera vez que los atacantes utilizaron IA para construir un día cero, pero es la primera vez que Google Threat Intelligence Group encontró evidencia convincente de que esta escalada preocupante y largamente predicha en el desarrollo de vulnerabilidades está en marcha.

«Finalmente descubrimos alguna evidencia de que esto está sucediendo», dijo a CyberScoop John Hultquist, analista jefe de GTIG. «Esta es probablemente la punta del iceberg y ciertamente no será la última».

Google se negó a identificar la vulnerabilidad específica, que ha sido parcheada, o nombrar la “herramienta de administración popular de código abierto basada en web” a la que afectaba. Sin embargo, sí señaló que el defecto afectó a un script de Python que permite a los atacantes eludir la autenticación de dos factores para el servicio.

Los investigadores también ocultaron detalles sobre cómo descubrieron el exploit de día cero o el grupo de delitos cibernéticos que se estaba preparando para utilizarlo en una serie de ataques a gran escala.

El grupo de amenazas tiene un «sólido historial de incidentes de alto perfil y explotación masiva», dijo Hultquist, sugiriendo que los atacantes son prominentes y bien conocidos entre los profesionales de la ciberseguridad.

GTIG está bastante seguro de que el grupo de amenazas estuvo utilizando la IA de manera significativa durante todo el proceso, pero aún tiene que determinar si la tecnología también descubrió la vulnerabilidad que finalmente convirtió en un exploit.

Cualquiera que sea el modelo de IA que utilizaron los atacantes (Google confía en que no fue Gemini o Mythos de Anthropic) dejó artefactos en todo el código de explotación que son inconsistentes con los desarrolladores humanos. Esta evidencia, que incluía cadenas de documentación en Python, código altamente anotado y una puntuación CVSS alucinada pero inexistente, alertó a Google sobre el hecho de que la IA estaba muy involucrada, dijo Hultquist.

GTIG ha estado advirtiendo y esperando que los exploits desarrollados por IA afecten a los sistemas en estado salvaje, especialmente después de que su agente Big Sleep AI encontró una vulnerabilidad de día cero a finales de 2024.

«Creo que el momento decisivo fue hace dos años, cuando demostramos que esto era posible», dijo Hultquist, y agregó que probablemente hay varias otras IA desarrolladas en días cero en juego ahora.

Sin embargo, para él, el descubrimiento de un exploit de día cero desarrollado por IA es menos preocupante de lo que este único ejemplo presagia aún más.

«El juego ya ha comenzado y esperamos que la trayectoria de capacidad sea bastante clara», dijo Hultquist. «Esperamos que este sea un problema mucho mayor, que se realicen ataques de día cero más devastadores, especialmente a medida que crezcan las capacidades».