A 2026-os esztendő eddigi legjelentősebb kiberbiztonsági áttörését jelentette be a Google Threat Intelligence Group (GTIG). A szakértők azonosították az első olyan, „in-the-wild” (éles környezetben) alkalmazott zero-day sebezhetőséget, amelyet bizonyíthatóan mesterséges intelligencia segítségével fejlesztettek ki kiberbűnözők. A támadás célpontja egy népszerű, nyílt forráskódú webes rendszeradminisztrációs eszköz volt, a cél pedig a kétfaktoros hitelesítés (2FA) teljes megkerülése.
A gép, amely átlát a logikán
A felfedezett biztonsági rés nem a hagyományos programozási hibák (például puffertúlcsordulás vagy bemeneti ellenőrzés hiánya) közé tartozik, amelyeket a klasszikus automatizált szkennerek könnyűszerrel kiszűrnek. Ehelyett egy magas szintű szemantikai logikai hibáról van szó, ahol a fejlesztők egy „hard-coded” bizalmi feltételezést hagytak a kódban. Az LLM-alapú (Large Language Model) rendszerek pont az ilyen kontextuális összefüggések felismerésében jeleskednek: a támadók által használt AI képes volt értelmezni a kód eredeti célját, és megtalálni azt a logikai kiskaput, ahol a hitelesítési folyamat rövidre zárható.
Önalakító malware és Gemini-alapú hátsó ajtók
A jelentés rávilágított egy még aggasztóbb trendre: a kiberbűnözők már nemcsak a felfedezéshez, hanem a kártevők fenntartásához is AI-t használnak. Azonosították a PROMPTSPY nevű Android-alapú hátsó ajtót, amely a Gemini API-t használja az fertőzött eszközök autonóm irányítására. Ez a malware képes valós időben elemezni a kijelző tartalmát, és láthatatlan rétegeket (overlay) helyezni a kritikus gombokra. Ha például a felhasználó megpróbálja eltávolítani az appot, a kártevő egy láthatatlan réteggel blokkolja az „Eltávolítás” gombot, így az érintés nem jut el a rendszerhez, a gomb pedig működésképtelennek tűnik.
A védelem válasza: Big Sleep és CodeMender
A Google nem maradt adós a válasszal. A 2024-ben indult Big Sleep (korábban Naptime) projekt 2026-ra teljesedett ki: ez az AI-ágens már autonóm módon járőrözik a kritikus nyílt forráskódú projektekben. A Big Sleep nemrégiben egy SQLite sebezhetőséget talált meg és javított ki, mielőtt az a publikus verziókba került volna. A védekezési láncot a CodeMender egészíti ki, amely a Gemini következtetési képességeit használva automatikusan generál javítófoltokat a feltárt résekhez, ezzel lezárva a támadási ablakot, mielőtt a hackerek reagálhatnának.
| Paraméter | Részletek és Érintett Technológia |
|---|---|
| Támadási típus | AI-generált Zero-Day 2FA Bypass |
| Felfedező szervezet | Google Threat Intelligence Group (GTIG) |
| Alkalmazott malware | PROMPTSPY (Android), CANFAIL, LONGSTREAM |
| AI technológia a védelemben | Big Sleep, CodeMender, Gemini 2.5 Flash-lite |
| Kockázati besorolás | Kritikus (Mass Vulnerability Exploitation kísérlet) |
Magyar vonatkozás
A hazai kiberbiztonsági szakértők szerint a felfedezés rávilágít arra, hogy a magyarországi kkv-szektornak is szintet kell lépnie a védekezésben. Mivel a támadás egy népszerű nyílt forráskódú rendszeradminisztrációs eszközt érintett, amelyet számos hazai hosting szolgáltató és rendszergazda használ, a javítófoltok azonnali telepítése kritikus jelentőségű. A magyar hatóságok és incidenskezelő központok fokozott figyelmet fordítanak az AI-segítette adathalászati és betörési kísérletekre, amelyek a nyelvi modellek fejlődésével immár tökéletes magyarsággal operálnak.
Kilátások a kiberháború új korszakában
A „fegyverkezési verseny” új szakaszba lépett. Míg korábban a biztonsági rések felfedezése emberi léptékű folyamat volt, az AI-val ez gépiesített, nagyüzemi tevékenységgé vált. A jövőben a védelem nem alapozhat kizárólag statikus szabályokra; a mesterséges intelligenciát mesterséges intelligenciával kell ellensúlyozni. A Google jelentése egyértelmű üzenet: a 2FA önmagában már nem garancia a biztonságra, ha a mögöttes üzleti logika AI-val támadható.
