Google détecte le premier exploit zero-day généré par l'intelligence artificielle

Le Google Threat Intelligence Group a publié un rapport alarmant confirmant une étape sombre dans l’histoire de la cybersécurité : l’identification du premier exploit "zero-day" avec des preuves claires d’un développement et d'une militarisation par l'intelligence artificielle. Cette découverte indique que l'utilisation de modèles de langage (LLMs) par les hackers n'est plus expérimentale et a atteint une échelle industrielle.

Le "ADN" de l'IA dans le code malveillant

Les chercheurs de Google ont identifié un script d'attaque conçu pour contourner l'authentification à deux facteurs (2FA) sur un outil populaire open source. Ce qui a attiré l'attention n'était pas seulement l'efficacité, mais la structure du code : il contenait des docstrings (commentaires de documentation) extrêmement détaillés et soignés, typiques des réponses de LLMs comme GPT-4 ou Gemini.

Encore plus impressionnante fut la présence d'une "hallucination" technique : le code incluait un score CVSS (système qui mesure la gravité des failles) inventé, quelque chose qu'un développeur humain ferait rarement, mais qui est une erreur fréquente avec les IA génératives lorsqu'elles tentent de catégoriser le danger d'un exploit.

La Chine et la Corée du Nord en tête

Le rapport détaille comment des États-nations accélèrent cette course à l'armement. La Chine alimente ses modèles d'IA avec le dataset wooyun-legacy, qui contient l'historique de plus de 85 000 vulnérabilités réelles, entraînant des systèmes à détecter automatiquement les failles dans les infrastructures modernes.

Quant à la Corée du Nord (groupe APT45), elle a été détectée utilisant des prompts récursifs massifs pour valider des preuves de concept (PoCs) d'exploits. L’émergence du PROMPTSPY, une nouvelle catégorie de malware autonome, a également été mise en avant : il s'agit d'un virus utilisant l'IA pour interpréter l'état du système de la victime en temps réel et générer des commandes d'attaque dynamiques, rendant la détection par les antivirus traditionnels presque impossible.

Big Sleep : La contre-offensive de Google

Pour contrer la menace, Google a dévoilé les progrès du Big Sleep (précédemment connu sous le nom de Project Naptime). Cet agent d'IA défensif a été conçu pour agir comme un chercheur en sécurité autonome, trouvant et suggérant des corrections pour les failles critiques avant qu'elles ne soient découvertes par des acteurs malveillants.

Google a également annoncé le CodeMender, un outil qui aide les développeurs à appliquer instantanément les correctifs de sécurité suggérés par l'IA. "Nous sommes dans une course de vitesse", affirme le rapport. "La défense doit être aussi autonome et intelligente que l'attaque si nous voulons préserver l'intégrité de l'internet mondial."