Google опубликовал отчет, в котором впервые зафиксировал хакерскую атаку с эксплойтом, написанным нейросетью. Группа киберпреступников использовала ИИ, чтобы найти неизвестную ранее уязвимость в распространенной open-source панели администрирования серверов — она позволяла обходить двухфакторную аутентификацию. По данным Google, атаку готовили массовой: заразить максимум жертв через одну дыру. Кампанию вскрыли заранее, уведомили разработчиков пострадавшего инструмента, и она не развернулась.

Тревога "хакеры используют ИИ" — не свежая. В ноябре 2024 Big Sleep, агент-исследователь от Google и DeepMind, нашел неизвестную дыру в SQLite — но это был защитник, тестирующий собственную модель в лаборатории. В ноябре 2025 Anthropic опубликовал отчет про китайскую государственную группу, которая с Claude атаковала около тридцати организаций со степенью автоматизации 80-90% — но это шпионаж по точечному списку целей, и палил его сам производитель модели. В том же месяце то же подразделение Google показало PromptFlux — самомодифицирующийся скрипт-дроппер, менявший свой код во время работы — но это не свежая уязвимость и не массовая кампания.

Новизна — в трех сдвигах сразу. Во-первых, эксплойт писали не разведчики, а коммерческая криминальная группа: ИИ как инструмент атаки опустился из категории "пугает спецслужбы" в категорию "пугает любую компанию". Во-вторых, целью была не точечная разведка по тридцати организациям, а заражение всех серверов с уязвимой панелью в открытом интернете — это десятки тысяч машин. В-третьих, атаку вскрыл сторонний наблюдатель, не сам производитель модели — независимое подтверждение, а не маркетинг вендора.

Технически уязвимость реализована Python-скриптом, который обходит двухфакторную защиту в open-source панели администрирования. Какой именно инструмент пострадал, Google не раскрывает: публикация согласована с вендором, тот выпустил патч до того, как кампания запустилась. По наблюдению аналитиков, особый интерес к ИИ как инструменту поиска уязвимостей проявляют группы, связанные с Китаем и Северной Кореей. В отдельной истории из того же отчета преступная группа TeamPCP в марте взяла на себя ответственность за компрометацию репозиториев Trivy, Checkmarx, LiteLLM и BerriAI — то есть ИИ-инструменты уже атакуют сами ИИ-инструменты.

В отчете Google прямо называет OpenClaw — популярный open-source ИИ-агент Питера Штайнбергера — одной из платформ, через которые киберпреступники сейчас экспериментируют с поиском уязвимостей. Anthropic в апреле задержал релиз модели Mythos именно из-за подобных опасений: теперь видно, что они были не теоретические. Главный аналитик подразделения Google по киберугрозам Джон Халтквист считает, что найденная кампания — "верхушка айсберга" того, как преступники и государственные хакеры будут двигать ИИ-хакинг вперед.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.