В течение многих лет индустрия кибербезопасности предупреждала, что приближается хакерство с использованием ИИ. Оно уже наступило. Группа по разведке угроз Google (GTIG) подтвердила первый известный случай эксплойта нулевого дня, созданного с помощью искусственного интеллекта, который обходит двухфакторную аутентификацию, эксплуатируя встроенную уязвимость доверия в широко используемом инструменте веб-администрирования с открытым исходным кодом.
Открытие, опубликованное 11 мая 2026 года, представляет собой значительное усиление игры в кошки-мышки между исследователями безопасности и злоумышленниками. Для всех в криптовалюте, кто полагается на 2FA как на средство защиты, это сигнал к действию, на который стоит обратить внимание.
Что обнаружил GTIG и почему это отличается
Эксплоит представляет собой Python-скрипт, предназначенный для обхода защиты 2FA путем использования логической уязвимости в неназванном, но широко используемом открытом веб-инструменте администрирования. На английском языке: инструмент имел слабость в том, как он определяет доверие к определенным запросам аутентификации, и скрипт был создан специально для эксплуатации этой уязвимости.
То, что делает этот случай беспрецедентным, — это не сама уязвимость, а следы, оставленные за собой.
Исследователи GTIG выявили несколько характерных признаков кода, сгенерированного ИИ, во всем скрипте. Чистые ANSI-цветовые классы, организованные обучающие запросы, вымышленная оценка CVSS (отраслевой стандарт рейтинга серьезности) и подробные справочные меню были все присутствовали. Это характеристики, которые почти никогда не встречаются в ручном коде эксплойтов.
Представьте себе набор инструментов для взлома, где каждый инструмент отдельно помечен инструкциями и раскрашен по функциям. Люди-хакеры обычно не тратят время на такую детализацию. Большие языковые модели, напротив, обучены быть полезными и организованными, даже когда результат вредоносен.
Анализ GTIG показал, что структура кода тесно соответствует шаблонам обучающих данных крупных языковых моделей. Группе удалось исключить собственную модель Gemini от Google, что означает, что злоумышленники использовали другую ИИ-систему для обнаружения уязвимости и создания рабочего эксплойта.
Вмешательство Google остановило массовую кампанию эксплуатации
Вот в чем дело. Это было не просто академическое упражнение или доказательство концепции, лежащее на каком-либо форуме в темной сети. GTIG установил, что злоумышленники имели планы по массовому использованию уязвимости, то есть намеревались развернуть эксплойт в масштабе против систем, использующих уязвимый инструмент.
Google вмешалась, напрямую сотрудничая с поставщиком для внедрения патча до запуска кампании. Хронология событий указывает на то, что GTIG обнаружила эту уязвимость относительно рано в цикле эксплуатации, что является наилучшим сценарием для инцидента такого рода.
Но тот факт, что ИИ-модель была использована не только для написания скрипта, но и для выявления ранее неизвестной уязвимости, а затем для создания функционального обхода 2FA, открывает новую главу в области атакующей кибербезопасности. Барьер для входа в разработку сложных эксплойтов значительно снизился.
Раньше создание нулевого дня требовало глубоких знаний в области обратной разработки, исследования уязвимостей и разработки эксплойтов. Эти навыки требуют лет для освоения. Модель ИИ может сжать большую часть этого процесса до нескольких часов, снижая порог входа для потенциальных злоумышленников и повышая потолок возможностей для опытных хакеров.
Почему криптовалюте следует обратить внимание
К конкретной уязвимости не были привязаны никакие конкретные платформы криптовалют. Однако последствия для криптовалютной индустрии невозможно игнорировать.
Двухфакторная аутентификация — это базовый уровень безопасности, используемый практически на всех крупных криптовалютных биржах, провайдерах кошельков и платформах DeFi. Многие из этих сервисов работают на открытых веб-инструментах администрирования или интегрируются с ними — именно эта категория программного обеспечения является целью здесь.
Уязвимость, связанная с жестко закодированным доверием, лежащая в основе этой атаки, — это тип уязвимости, который может присутствовать в нескольких реализациях подобного программного обеспечения. Если одна из открытых админ-утилит страдала от этой проблемы, есть разумная вероятность, что другие обладают сопоставимыми слабостями в логике.
Для пользователей криптовалют практический вывод заключается в том, что 2FA необходим, но недостаточен. Аппаратные ключи безопасности, вайтлисты вывода и настройки мультиподписных кошельков обеспечивают дополнительные уровни защиты, которые не могут быть скомпрометированы только обходом 2FA. Биржи и кастодианы, полагающиеся исключительно на программную 2FA в качестве основной защиты, должны пересмотреть свою архитектуру безопасности с учетом этого открытия.
Более широкая проблема — это кривая ускорения. Если ИИ сегодня может генерировать функциональный нулевой день, нацеленный на веб-инструмент администратора, несложно представить, что аналогичные методы будут применяться к уязвимостям смарт-контрактов, кошелькам в виде браузерных расширений или системам аутентификации API, используемым торговыми платформами. Поверхность атаки в криптовалюте уже огромна. Генерация эксплойтов с помощью ИИ делает защиту экспоненциально сложнее.
Смотрите, гонка вооружений в области кибербезопасности всегда благоволила тому, кто действует быстрее. Впервые у нападающих появился инструмент, способный систематически выявлять уязвимости со скоростью машины. Google обнаружил эту уязвимость. Следующий эксплойт, сгенерированный ИИ, может не иметь таких удобных следов, а цель может не иметь команды уровня GTIG, наблюдающей за периметром.