De acordo com especialistas do Google Threat Intelligence Group, os cibercriminosos não estão mais apenas experimentando a inteligência artificial durante ataques cibernéticos, mas a estão usando como uma ferramenta padrão, acessada regularmente por malware.
Fonte da imagem: cloud.google.com/blog
Algumas famílias de malware fazem chamadas diretas ao assistente de IA Gemini ao executar ciberataques, observaram pesquisadores de cibersegurança do Google. O malware solicita dinamicamente a geração de código do modelo ao realizar tarefas específicas, permitindo que os fragmentos correspondentes sejam omitidos do código principal. Por exemplo, o malware da família HONESTCUE enviou solicitações para gerar código C# que foi executado na cadeia de ataque. A lógica é movida para fora do binário estático, o que complica os métodos tradicionais de detecção baseados em assinaturas ou indicadores comportamentais.
Outro tipo de ataque envolve tentativas de replicar modelos de IA por meio de destilação. Os atacantes enviam grandes volumes de consultas estruturadas aos modelos para replicar seu comportamento, padrões de resposta e lógica interna. Ao analisar sistematicamente a saída, os atacantes podem replicar as capacidades de modelos de IA proprietários com certa precisão, treinando sistemas alternativos sem incorrer nos custos de desenvolvimento e infraestrutura associados à sua criação do zero. O Google identificou e interrompeu com sucesso campanhas envolvendo grandes volumes de consultas destinadas a extrair conhecimento de modelos Gemini.
O uso de IA por grupos de hackers apoiados por governos está aumentando rapidamente. A IA é usada em reconhecimento, pesquisa de vulnerabilidades, desenvolvimento de scripts e geração de conteúdo de phishing. Modelos generativos de IA estão se mostrando úteis na criação de iscas convincentes, na depuração de fragmentos de código malicioso e na aceleração da pesquisa técnica contra sistemas-alvo. Os cibercriminosos estão explorando o potencial da IA baseada em agentes — ela pode ser desenvolvida para executar tarefas em várias etapas com intervenção humana mínima, o que significa que futuros malwares provavelmente incorporarão elementos de tomada de decisão autônoma. Na prática, essas ferramentas ainda não estão em uso — elas complementam, mas não substituem, os operadores humanos.