Google в мае 2026 года сообщила о первом известном случае, когда злоумышленники, вероятно, использовали ИИ для поиска и подготовки уязвимости нулевого дня. Брешь позволяла атаковать двухфакторную аутентификацию в популярной открытой веб-панели администрирования, но требовала уже украденные логин и пароль.

Для обычных пользователей это важный сигнал: 2FA остаётся нужной защитой, но больше не спасает в одиночку. Для администраторов риск ещё выше — атаки на инструменты управления быстро превращаются в массовые взломы серверов, сайтов и корпоративных кабинетов.

Что обнаружила Google

Google Threat Intelligence Group заявила, что неизвестная киберпреступная группа готовила массовую эксплуатацию уязвимости в открытом инструменте для веб-администрирования. Название продукта компания не раскрыла: Google передала данные разработчику и помогла закрыть брешь до того, как атака набрала полный ход.

Речь идёт об уязвимости нулевого дня (zero-day — брешь, о которой разработчик ещё не знает). По оценке Google, злоумышленники написали скрипт на Python, который позволял пройти проверку 2FA при наличии действующих учётных данных.

Это важная оговорка. Скрипт не взламывал аккаунт «с нуля»: преступникам всё равно нужны были логин и пароль. Но если пароль уже утёк через фишинг (от англ. phishing — выуживание), вредоносную программу или старую базу утечек, второй фактор мог не остановить вход.

Почему следы ведут к ИИ

Google не утверждает, что преступники использовали именно её модель Gemini. Но эксперты компании с высокой уверенностью считают, что к созданию кода приложили большую языковую модель (large language model, LLM — система, обученная на больших массивах текста и кода).

На это указывал стиль скрипта: избыточные учебные пояснения, аккуратная структура, подробные меню помощи и даже выдуманная оценка по CVSS. Такие следы часто появляются в коде, который генерируют LLM-инструменты: модель пишет не только рабочие блоки, но и лишние комментарии, будто объясняет задачу студенту.

Сама ошибка относилась не к классической «дырке» в памяти, а к логике доверия. В продукте, по данным Google, существовало жёстко заданное предположение о том, как проверять один из этапов входа. Такие семантические ошибки сложнее заметить автоматическими сканерами, зато ИИ всё лучше ищет их по исходному коду и описанию поведения системы.

Похожую гонку мы уже видим с легальными инструментами поиска дефектов: например, OpenAI запустила проект Daybreak для анализа кода, о чём SAFENET21 писал в материале «OpenAI запустила Daybreak: ИИ будет искать уязвимости в коде». Проблема в том, что те же методы быстро перенимают преступники.

2FA не сломана, но её нужно усиливать

Новость не означает, что двухфакторная аутентификация бесполезна. Напротив, она по-прежнему отсекает массу атак, где преступник знает только пароль. Но 2FA нельзя считать последним рубежом, особенно если сервис допускает слабые сценарии восстановления доступа или доверяет спорным параметрам при входе.

Для компаний главный риск связан с административными панелями. Веб-инструменты управления часто открывают доступ к серверам, сайтам, почте, базам данных и резервным копиям. Если преступник попадает туда под легитимной учётной записью, его действия трудно отличить от работы администратора.

Схожая логика уже проявлялась в атаках на хостинг-панели: в разборе уязвимости cPanel, которую использовали для кражи паролей сайтов, ключевым фактором тоже стала связка доступа к панели и дальнейшего захвата данных.

Android-малварь тоже учится действовать автономно

В том же отчёте Google описала PromptSpy — вредоносную программу для Android, которая злоупотребляла Gemini для анализа экрана и выбора дальнейших действий. Компания отключила связанные с атакой активы и заявила, что не нашла приложений с этим кодом в Play Store.

По данным Google, PromptSpy могла следить за интерфейсом Android, понимать активность пользователя и менять тактику без постоянной команды оператора. Отдельный модуль мешал удалению: вредоносный код определял координаты кнопки удаления приложения и закрывал её невидимым слоем, из-за чего пользователю казалось, что кнопка не реагирует.

Ещё опаснее функция захвата биометрических и поведенческих данных. Google пишет, что программа могла записывать жесты аутентификации — например, PIN или графический ключ — чтобы вернуть доступ к устройству после блокировки.

Такие примеры показывают общий тренд: ИИ ускоряет не только поиск уязвимостей, но и управление вредоносным кодом. Защитникам приходится быстрее обновлять системы, внимательнее следить за входами и меньше полагаться на один контроль безопасности.

Что сделать сейчас

  • Проверьте, где у вас включена 2FA: почта, банк, «Госуслуги», рабочие панели, облачные хранилища. Начинайте с почты — через неё восстанавливают доступ к другим сервисам.
  • Замените SMS-коды на приложение-аутентификатор или аппаратный ключ, если сервис это поддерживает. SMS лучше, чем ничего, но слабее современных методов.
  • Для админ-панелей включите ограничение входа по списку разрешённых адресов и отдельные учётные записи для каждого сотрудника. Общие логины усложняют расследование.
  • Обновляйте веб-панели управления сразу после выхода исправлений. Если название уязвимого продукта не раскрыто, это не повод ждать: проверьте все открытые инструменты администрирования.
  • Просмотрите журналы входов за последние недели: новые страны, необычное время, частые ошибки 2FA и успешный вход после серии отказов требуют проверки.
  • Не храните резервные коды 2FA в почте или заметках без защиты. Лучше держать их в менеджере паролей с отдельным мастер-паролем.
  • При работе из кафе, гостиниц и других публичных сетей используйте сервис безопасного интернет-соединения, чтобы защитить трафик и приватность данных.
  • На Android удаляйте приложения, которым не доверяете, и проверяйте разрешения: доступ к экрану, спецвозможностям и управлению устройством должен быть только у понятных программ.
Поделиться: