Googleが、AIを使って見つけたゼロデイ脆弱性が実際のエクスプロイトに落とし込まれた事例を初めて確認した。The Registerが11日、報じた。

Google脅威インテリジェンスグループ（GTIG）は報告書で、オープンソースのWebベース管理プラットフォームに存在した2要素認証回避の脆弱性が、大規模な侵入を狙う攻撃者に悪用されたと明らかにした。

Googleによると、攻撃者はAIモデルで脆弱性を特定し、実際に利用可能なエクスプロイトを作成したとみられる。Googleはベンダーと連携し、攻撃キャンペーンが本格化する前に水面下でパッチを適用した。この対応によって、攻撃を未然に防げた可能性があるとしている。

一方でGoogleは、GeminiやAnthropicのMythosが今回の攻撃に使われたわけではないと説明した。そのうえで、エクスプロイト自体は機械生成だった可能性があると指摘している。

このエクスプロイトには、Pythonスクリプト内にLLMの学習データを想起させるチュートリアル文書風の文字列や、特徴的なコーディング構造が含まれていたという。

GTIGのシニアアナリスト、John Hultquist氏は「AIを巡る脆弱性競争はこれから始まるという誤解がある。だが現実には、すでに始まっている」と述べた。

Googleは今回の事例について、より大きな流れの一部とみている。報告書では、北朝鮮のハッキンググループAPT45がAIを使って数千件規模のエクスプロイト検証を進め、ツールキットを拡張しているとした。さらに、中国系の国家支援ハッカーは、脆弱性の探索や標的の自動検出に向けてAIシステムを試験しているという。

また、ロシアはAI生成音声を実際のニュース映像に重ねる影響力工作を進めているとも報告した。

Googleは、今回の攻撃はなお初期段階にとどまるとの見方を示した。エクスプロイト実装時のミスが攻撃者の計画を妨げた可能性がある一方、こうした幸運が今後も続く保証はないとしている。