Роками індустрія кібербезпеки попереджала, що наближається хакінг із використанням ШІ. Він уже тут. Група з інтелекту про загрози Google (GTIG) підтвердила перший відомий випадок експлойту нульового дня, створеного з допомогою штучного інтелекту, який обходить двофакторну автентифікацію, експлуатуючи вбудовану проблему довіри у широко використовуваному інструменті веб-адміністрування з відкритим кодом.
Відкриття, опубліковане 11 травня 2026 року, позначає значне посилення гри в «ховається-шукай» між дослідниками безпеки та зловмисниками. І для будь-кого в криптовалюті, хто покладається на 2FA як на захисний щит, це сигнал до уваги, який варто врахувати.
Що знайшов GTIG і чому це відрізняється
Експлойт — це сценарій Python, розроблений для обходу захисту 2FA шляхом використання логічного недоліку в неназваному, але широко використовуваному відкритому інструменті веб-адміністрування. На англійській мові: інструмент мав слабкість у тому, як він вирішує, кому довіряти певним запитам на автентифікацію, і сценарій був створений саме для використання цієї слабкості.
Не лише сам експлойт робить цей випадок безпрецедентним. Це сліди, які він залишив.
Дослідники GTIG виявили кілька характерних ознак коду, згенерованого ШІ, у всьому скрипті. Чисті ANSI-кольорові класи, організовані освітні запити, вигаданий бал CVSS (стандартна галузева оцінка серйозності) та детальні меню довідки були присутні усюди. Це характеристики, які майже ніколи не з’являються у ручно написаних експлойтах.
Уявіть собі набір інструментів для виламування, де кожен інструмент окремо позначений інструкціями та розфарбований за функцією. Людські хакери зазвичай не витрачають час на таку поліровку. З іншого боку, великі мовні моделі навчені бути корисними та організованими, навіть коли вихід є зловмисним.
Аналіз GTIG показав, що структура коду тісно відповідає шаблонам навчальних даних великих мовних моделей. Групі вдалося виключити власну модель Gemini від Google, що означає, що зловмисники використовували іншу AI-систему для виявлення вразливості та розробки працюючого експлойту.
Втручання Google призупинило масову кампанію експлуатації
Ось у чому справа. Це було не просто академічне завдання або доказ концепції, що лежав на якомусь форумі темної мережі. GTIG встановив, що зловмисники мали плани масового використання, тобто намірялися масштабно застосувати експлойт проти систем, що використовують вразливий інструмент.
Google втрутилася, працюючи безпосередньо з виробником для застосування патча до того, як кампанія могла бути запущена. Хронологія свідчить про те, що GTIG виявив це відносно на початку життєвого циклу експлуатації, що є найкращим сценарієм для подібного інциденту.
Але те, що цей AI-модель використовувався не лише для написання сценарію, а й для виявлення раніше невідомої вразливості, а потім створення працюючого обходу 2FA, відкриває нову главу в нападній кібербезпеці. Бар’єр для входу у розробку складних експлойтів значно знизився.
Раніше створення нульового дня вимагало глибоких знань у зворотному інжинірингу, дослідженні вразливостей та розробці експлойтів. Це навички, які вимагають років для освоєння. Модель ШІ може скоротити значну частину цього процесу до кількох годин, знижуючи поріг кваліфікації для потенційних нападників та піднімаючи межу того, чого можуть досягти досвідчені хакери.
Чому криптовалюті слід звертати увагу
Жодна конкретна платформа криптовалют не була пов’язана з цією експлуатацією. Але наслідки для індустрії криптовалют важко ігнорувати.
Двофакторна автентифікація — це базовий рівень безпеки, що використовується майже на всіх великих криптовалютних біржах, провайдерах гаманців та платформах DeFi. Багато з цих сервісів працюють на або інтегровані з інструментами веб-адміністрування з відкритим кодом — саме тією категорією програмного забезпечення, на яку спрямовано цей захід.
Проблема з жорстко закодованим довір'ям, що лежить в основі цієї експлуатації, — це тип уразливості, яка може існувати в кількох реалізаціях подібного програмного забезпечення. Якщо один інструмент адміністрування з відкритим кодом мав цю проблему, існує певна ймовірність, що інші мають подібні слабкості в логіці.
Для користувачів криптовалют практичний висновок полягає в тому, що 2FA є необхідним, але недостатнім. Апаратні ключі безпеки, білі списки виведення та налаштування багатопідписних гаманців забезпечують додаткові рівні захисту, які не можуть бути скомпрометовані лише обходом 2FA. Біржі та кастодіани, які залежать виключно від програмного 2FA як власної основної захисної міри, повинні переоцінити свою архітектуру безпеки з урахуванням цього виявлення.
Більш широке занепокоєння — це крива прискорення. Якщо ШІ сьогодні може генерувати функціональний нульовий день, спрямований на інструмент веб-адміністратора, не важко уявити, що подібні методи можуть бути застосовані до вразливостей смартконтрактів, гаманців у вигляді розширень браузера або систем аутентифікації API, які використовуються торговими платформами. Поверхня атаки в криптовалюті вже надзвичайно велика. Генерація експлойтів з допомогою ШІ робить захист експоненційно складнішим.
Подивіться, боротьба кібербезпеки завжди користувалася тим, хто рухається швидше. Вперше нападники мають інструмент, який може систематично перевіряти слабкі місця зі швидкістю машини. Google виявив цей випадок. Наступний експлойт, згенерований штучним інтелектом, може не мати таких зручних слідів, а ціль може не мати команди рівня GTIG, яка спостерігає за периметром.