Google afferma che gli hacker stanno abusando di Gemini per accelerare gli attacchi informatici e non si limitano allo spam di phishing scadente. In un nuovo Rapporto sul gruppo di intelligence sulle minacce di Googleafferma che i gruppi sostenuti dallo Stato hanno utilizzato Gemini in più fasi di un’operazione, dalla ricerca iniziale degli obiettivi al lavoro post-compromesso.
L’attività abbraccia cluster legati a Cina, Iran, Corea del Nord e Russia. Google afferma che i suggerimenti e gli output osservati riguardavano profilazione, copia di ingegneria sociale, traduzione, aiuto per la codifica, take a look at di vulnerabilità e debug quando gli strumenti si interrompono durante un’intrusione. Un aiuto rapido nelle attività di routine può ancora cambiare il risultato.
Aiuto AI, lo stesso vecchio manuale
I ricercatori di Google inquadrano l’uso dell’intelligenza artificiale come un’accelerazione, non come una magia. Gli aggressori già eseguono ricognizioni, pescano esche, modificano malware e scovano gli errori. Gemini può stringere questo cerchio, soprattutto quando gli operatori necessitano di riscritture rapide, supporto linguistico o correzioni di codice sotto pressione.
Il rapporto descrive un’attività legata alla Cina in cui un operatore ha adottato una personalità esperta di sicurezza informatica e ha spinto Gemini advert automatizzare l’analisi delle vulnerabilità e produrre piani di take a look at mirati in uno situation inventato. Google afferma inoltre che un attore con sede in Cina ha utilizzato ripetutamente Gemini per il debug, la ricerca e la guida tecnica legata alle intrusioni. Non si tratta tanto di nuove tattiche quanto di meno dossi stradali.
Il rischio non è solo il phishing
Il grande cambiamento è il ritmo. Se i gruppi possono iterare più velocemente su bersagli e strumenti, i difensori avranno meno tempo tra i primi segnali e il danno reale. Ciò significa anche meno pause evidenti in cui errori, ritardi o lavoro manuale ripetuto potrebbero emergere nei log.
Google segnala anche una minaccia diversa che non assomiglia affatto alle truffe classiche, ovvero l’estrazione di modelli e la distillazione della conoscenza. In questo situation, gli attori con accesso API autorizzato martellano il sistema con richieste di replicare le sue prestazioni e le sue motivazioni, quindi utilizzano story conoscenza per addestrare un altro modello. Google lo inquadra come un danno alla proprietà commerciale e intellettuale, con un potenziale rischio a valle se aumenta, incluso un esempio che coinvolge 100.000 suggerimenti volti a replicare il comportamento in attività non inglesi.
Cosa dovresti guardare dopo
Google afferma di aver disabilitato account e infrastrutture legati agli abusi documentati di Gemini e di aver aggiunto difese mirate nei classificatori di Gemini. Cube anche che continua a testare e fa affidamento su guardrail di sicurezza.
Per i workforce di sicurezza, la conclusione pratica è presumere che gli attacchi assistiti dall’intelligenza artificiale si muoveranno più rapidamente, non necessariamente in modo più intelligente. Tieni traccia dei miglioramenti improvvisi nella qualità delle esche, nell’iterazione più rapida degli strumenti e nei modelli di utilizzo insoliti delle API, quindi restringi i runbook di risposta in modo che la velocità non diventi il più grande vantaggio dell’aggressore.
