Google identifica o primeiro exploit de dia zero desenvolvido por IA
O Google confirmou o primeiro caso conhecido de uma exploração de dia zero desenvolvida usando inteligência artificial. O Grupo de Inteligência contra Ameaças da empresa, GTIG, publicou seu relatório AI Threat Tracker em 11 de maio de 2026, detalhando como um grupo proeminente de crimes cibernéticos usou um modelo de IA para identificar e transformar em arma uma falha de segurança em uma popular ferramenta de administração da Web de código aberto. A vulnerabilidade contornou a autenticação de dois fatores. O Google trabalhou com o fornecedor afetado para corrigir a falha e acredita que sua intervenção pode ter interrompido a campanha de exploração em massa planejada pelo grupo antes do seu lançamento.
O GTIG declarou tem grande confiança de que um modelo de IA, e não um pesquisador humano, escreveu o script de exploração Python. O código o denunciou. Ele continha uma abundância de documentos educacionais, uma pontuação de gravidade CVSS alucinada, menus de ajuda detalhados e um estilo de formatação limpo e estruturado, característico de grandes dados de treinamento de modelos de linguagem. Essas não são coisas que um ser humano escrevendo uma ferramenta de ataque incluiria. A falha alvo em si era um erro de lógica semântica - um desenvolvedor havia codificado uma suposição de confiança no fluxo de autenticação, criando uma contradição com a lógica de aplicação da 2FA que os scanners de segurança tradicionais não perceberam, mas que a IA aparentemente detectou ao ler a intenção do desenvolvedor em vez de apenas analisar o código mecanicamente. Nem os modelos Gemini do próprio Google nem o Mythos da Anthropic foram usados pelos invasores, de acordo com o relatório.
Por que quase funcionou e por que não funcionou
Os invasores planejaram uma campanha de exploração em massa, visando a ferramenta de código aberto em escala com a exploração gerada por IA. A contra-descoberta proativa do GTIG parece ter cortado esse plano antes que ele ganhasse força. Os erros na implementação do exploit provavelmente também interferiram. "A parte incômoda para todos os outros é que essa ainda parece ser a fase inicial desajeitada", observou o The Register em sua cobertura. Os erros na execução salvaram muitas vítimas em potencial dessa vez. Isso pode não se manter. O analista-chefe do GTIG, John Hultquist do GTIG, foi bem claro: "Há uma concepção errônea de que a corrida pela vulnerabilidade da IA é iminente. A realidade é que ela já começou. Para cada dia zero que podemos rastrear até a IA, provavelmente há muitos outros por aí."
A falha de lógica semântica no centro da exploração aponta para algo mais preocupante do que um incidente isolado. Os scanners tradicionais são criados para detectar sinks, crashes e corrupção de memória. Eles não leem o código da forma como o desenvolvedor o escreve. Os LLMs o fazem. Eles podem correlacionar a intenção com a implementação, identificar contradições entre o design e a execução e revelar erros lógicos latentes que parecem funcionalmente corretos para todas as ferramentas automatizadas atualmente em uso. O GTIG descreveu isso como um recurso crescente que as ferramentas de segurança tradicionais estão estruturalmente mal equipadas para combater.
O quadro mais amplo do relatório do GTIG
O caso do dia zero é uma parte de um padrão maior que o relatório documenta. O grupo norte-coreano APT45 tem enviado milhares de solicitações repetitivas a modelos de IA para analisar recursivamente as vulnerabilidades e criar um arsenal de explorações em uma escala que seria impraticável manualmente. Um ator vinculado à China, identificado como UNC2814, usou prompts de jailbreak de persona especialista para levar a Gemini a pesquisar falhas de execução remota de código pré-autenticação no firmware do roteador TP-Link. Grupos russos têm usado áudio gerado por IA emendado em imagens de notícias legítimas para operações de influência. Além disso, o GTIG documentou os backdoors do Android que usam chamadas de API Gemini para navegar de forma autônoma em dispositivos infectados e famílias de malware preenchidas com código gerado por IA especificamente para confundir a análise.
Em março de 2026, o grupo criminoso TeamPCP comprometeu a LiteLLM, uma biblioteca de gateway de IA amplamente usada, incorporando um ladrão de credenciais por meio de pacotes PyPI envenenados e solicitações de pull maliciosas. As chaves AWS e os tokens GitHub roubados foram monetizados por meio de parcerias de ransomware. O ataque teve como alvo a camada de integração em torno dos sistemas de IA e não os modelos em si, um padrão que, segundo o GTIG, está se tornando padrão. Os modelos de fronteira são difíceis de serem comprometidos diretamente. Os conectores, os wrappers e as camadas de API em torno deles não são.
A IA não está sendo usada apenas como arma pelos invasores. Ela também está sendo usada como uma isca. O Notebookcheck abordou como um site falso da Claude AI divulgou o backdoor do Beagle Windows por meio de resultados de pesquisa patrocinados pelo Google na semana passada, usando um instalador trojanizado para implantar uma ferramenta de acesso remoto direcionada aos desenvolvedores que buscam ferramentas do Claude Code
