O cercetare recentă a Google evidențiază o tendință alarmantă în domeniul securității cibernetice din 2025: utilizarea inteligenței artificiale pentru a crea malware adaptabil, capabil să se modifice din mers pentru a evita detectarea. Acest fenomen semnalează o schimbare semnificativă în modul în care infractorii cibernetici operează, marcând o etapă nouă în evoluția atacurilor digitale.

Utilizarea modelele lingvistice mari (LLM) precum Gemini în dezvoltarea malware-ului permite acestora să evolueze constant. Cercetările Google identifică o tehnică denumită „just-in-time self-modification”, care le permite acestor programe să își rescrie codul în timpul execuției, sporind severitatea pericolelor. Exemple recente, precum PromptFlux, PromptSteal și QuietVault, arată o conștientizare mai acută a tehnologiilor AI în rândul infractorilor.

Ce înseamnă această schimbare? Malware-ul devine extrem de flexibil, auto-obfuscat, făcând detectarea tradițională aproape imposibilă.

Unul dintre cele mai avansate exemple, PromptFlux, folosește modelul Gemini al Google pentru a genera versiuni modificate ale propriului cod, ascunzând intențiile reale. Acesta trimite solicitări către AI pentru a primi instrucțiuni de evitare a detectării, acționând aproape ca un „robot gânditor”. Google a blocat accesul la API-ul Gemini, însă această situație ridică probleme privind viitorul securității.

Alte variante descoperite includ PromptSteal, utilizat pentru furt de date în Ucraina, și QuietVault, un malware care exfiltrează tokenuri GitHub și NPM. În plus, puterea AI-ului a fost exploatată pentru creare de deepfake-uri, campanii de phishing multilingve și instrumente automate de generare a deșeurilor digitale, toate utilizate de grupuri de hacking sponsorizate de state.

Actori statali și abuzul de AI în spațiul cibernetic

Raportul relevă implicarea mai multor țări. China a folosit AI pentru a obține vulnerabilități în cadrul competițiilor CTF. Iranul a utilizat modele AI pentru dezvoltarea malware și generarea de texte de phishing sofisticate. Actorii nord-coreeni și cei din Iran au folosit AI pentru furt de criptomonede, campanii de phishing și creație de deepfake-uri.

Guvernele și companiile au luat măsuri de securizare. Google a suspendat și blocat conturile și API-urile utilizate abuziv, îmbunătățind sistemele de protecție pentru modelele de inteligență artificială. Totodată, aceste eforturi vizează identificarea și dezarmarea actorilor implicați.

Piața neagră a instrumentelor AI pentru infracțiuni

Pe forumurile clandestine, se dezvoltă o piață neagră în creștere. Vânzătorii oferă servicii precum generatoare de deepfake-uri, frameworkuri pentru malware și instrumente de recunoaștere automată a vulnerabilităților. Acestea sunt accesibile și prin API sau platforme de chat, promovând o „automatizare completă” în infracțiuni.

Google avertizează că scăderea barierelor tehnice face ca infractorii să poată realiza atacuri complexe fără cunoștințe avansate. Astfel, riscul ca metodele AI rău intenționate să înlocuiască tehnicile tradiționale crește semnificativ.

În încheiere, dezvoltarea AI trebuie monitorizată în mod constant și responsabil. Pentru a contracara această tendință, colaborarea internațională și consolidarea politicilor de securitate sunt esențiale. Rămâne crucială informarea continuă pentru adaptarea la noile provocări ale securității cibernetice.