Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Un exploit zero-day, conçu à l'aide d'une intelligence artificielle, a été découvert par le Google Threat Intelligence Group (GTIG). Cette découverte marque une première dans le domaine de la cybersécurité, où l'idée que l'IA puisse générer un exploit fonctionnel n'était jusqu'alors qu'une hypothèse théorique.
L'exploit ciblait un outil d'administration système open source largement utilisé, bien que son nom n'ait pas été divulgué par Google. La vulnérabilité exploitée permettait de contourner l'authentification à deux facteurs, à condition que l'attaquant dispose d'identifiants valides. Le vecteur d'attaque était un script Python, dont la qualité du code a éveillé les soupçons des analystes du GTIG.
Un code Python suspect
Le script Python en question se distinguait par ses docstrings éducatives, un score CVSS halluciné, des menus d'aide détaillés et un formatage exemplaire, caractéristiques atypiques pour un code malveillant. Ce niveau de sophistication a conduit Google à conclure que l'IA avait non seulement participé à la recherche de la faille, mais l'avait également armée.
Google a précisé que les modèles d'IA Gemini et Claude Mythos d'Anthropic ne sont pas impliqués dans cet incident. Le modèle utilisé reste non identifié publiquement. La faille exploitée reposait sur une erreur de logique sémantique, un type de vulnérabilité que les grands modèles de langage (LLM) détectent efficacement, contrairement aux outils d'analyse traditionnels.
Le GTIG avait déjà alerté en mars sur l'accélération des attaques zero-day via les équipements réseau, soulignant la montée des menaces.
Une menace grandissante
Bien que l'exploit n'ait pas fonctionné comme prévu en raison d'erreurs d'implémentation, Google a collaboré avec l'éditeur de l'outil pour corriger la faille avant qu'elle ne soit exploitée à grande échelle. Cependant, cet incident ne doit pas être minimisé.
Le rapport du GTIG révèle que des groupes comme APT45, basé en Corée du Nord, et UNC2814, lié à la Chine, utilisent déjà des IA pour valider des exploits en masse. UNC2814 a notamment utilisé du jailbreaking sur Gemini pour rechercher des failles dans des routeurs TP-Link. En mars, le groupe criminel TeamPCP a compromis LiteLLM, une passerelle IA populaire, pour voler des clés AWS et des tokens GitHub. Ces IA ouvertes, bien moins coûteuses, permettent de reproduire des résultats similaires sans les garde-fous des modèles plus avancés.
John Hultquist, analyste en chef du GTIG, a déclaré au New York Times que cet incident n'est que la partie émergée de l'iceberg. L'IA, bien qu'elle améliore l'efficacité des experts en cybersécurité, offre également de nouvelles opportunités aux hackers. Les restrictions imposées par Anthropic sur Claude Mythos, bien que critiquées, trouvent ici leur justification.

