Google identificeert eerste door AI ontwikkelde zero-day exploit

De Threat Intelligence Group van Google heeft de eerste bekende zero-day exploit bevestigd die is ontwikkeld met behulp van AI. Deze exploit is gericht op een 2FA-bypass in een populaire open-source webadministratietool.

Google's GTIG heeft de eerste door AI ontwikkelde zero-day exploit bevestigd, gericht op 2FA in een web-admin tool. Een grootschalige exploit-campagne werd onderbroken voordat deze werd gelanceerd.

Darryl Linington (vertaald door DeepL / Ninh Duy), Gepubliceerd 12-05-2026 🇺🇸 🇪🇸 ...

AI Business Windows Software Science Laptop / Notebook Desktop

Google heeft het eerste bekende geval bevestigd van een zero-day exploit die is ontwikkeld met behulp van kunstmatige intelligentie. De Threat Intelligence Group van het bedrijf, GTIG, publiceerde zijn AI Threat Tracker-rapport op 11 mei 2026, waarin gedetailleerd wordt beschreven hoe een prominente cybercriminele groep een AI-model gebruikte om een beveiligingslek in een populaire open-source tool voor webbeheer te identificeren en te misbruiken. Het beveiligingslek omzeilde twee-factor authenticatie. Google werkte samen met de getroffen leverancier aan een patch en gelooft dat zijn interventie de geplande massale uitbuitingscampagne van de groep kan hebben verstoord voordat deze van start ging.

GTIG verklaarde er veel vertrouwen in heeft dat een AI-model, en niet een menselijke onderzoeker, het Python-exploit-script heeft geschreven. De code verraadde het al. Het bevatte een overvloed aan educatieve docstrings, een hallucinante CVSS ernstscore, gedetailleerde helpmenu's en een schone, gestructureerde opmaakstijl die kenmerkend is voor trainingsgegevens van grote taalmodellen. Dit zijn geen dingen die een mens zou toevoegen bij het schrijven van een aanvalstool. De doelfout zelf was een semantische logische fout - een ontwikkelaar had een vertrouwensaanname vast gecodeerd in de authenticatiestroom, waardoor een tegenstrijdigheid ontstond met de handhavingslogica van 2FA die traditionele beveiligingsscanners over het hoofd zagen, maar die de AI blijkbaar opmerkte door de intentie van de ontwikkelaar te lezen in plaats van de code mechanisch te analyseren. Noch Google's eigen Gemini modellen, noch Anthropic's Mythos werden gebruikt door de aanvallers, volgens het rapport.

Waarom het bijna werkte, en waarom niet

De aanvallers planden een massale uitbuitingscampagne, gericht op de open-source tool op grote schaal met de door AI gegenereerde exploit. De proactieve tegenontdekking van GTIG lijkt dat plan te hebben doorkruist voordat het aansloeg. Fouten in de implementatie van de exploit hebben waarschijnlijk ook ingegrepen. "Het vervelende voor alle anderen is dat dit nog steeds de onhandige beginfase lijkt te zijn," merkte The Register op in zijn verslag. Fouten in de uitvoering hebben deze keer veel potentiële slachtoffers gered. Dat zal misschien niet zo blijven. GTIG hoofdanalist John Hultquist verwoordde het duidelijk: "Er bestaat een misvatting dat de AI-kwetsbaarhedenrace op handen is. De realiteit is dat die al begonnen is. Voor elke zero-day die we kunnen herleiden tot AI, zijn er waarschijnlijk nog veel meer."

De semantische logische fout in het hart van de exploit wijst op iets dat zorgwekkender is dan een eenmalig incident. Traditionele scanners zijn gebouwd om sinks, crashes en geheugencorruptie te detecteren. Ze lezen code niet zoals een ontwikkelaar die schrijft. LLM's doen dat wel. Ze kunnen intentie en implementatie met elkaar in verband brengen, tegenstrijdigheden tussen ontwerp en uitvoering opsporen, en sluimerende logische fouten aan het licht brengen die er functioneel correct uitzien voor elk geautomatiseerd hulpmiddel dat momenteel in gebruik is. De GTIG beschreef dit als een toenemende mogelijkheid waartegen traditionele beveiligingstools structureel niet opgewassen zijn.

Het bredere beeld uit het GTIG-rapport

Het zero-day geval is onderdeel van een groter patroon dat in het rapport wordt beschreven. De Noord-Koreaanse groep APT45 heeft duizenden herhaalde aanwijzingen naar AI-modellen gestuurd om kwetsbaarheden recursief te analyseren en een exploit-arsenaal op te bouwen op een schaal die onpraktisch zou zijn om handmatig uit te voeren. Een aan China gelinkte actor die wordt aangeduid als UNC2814 gebruikte 'expert-persona jailbreak prompts' om Gemini aan te zetten tot onderzoek naar 'pre-authentication remote code execution flaws' in TP-Link routerfirmware. Russische groepen gebruiken AI-gegenereerde audio die in legitieme nieuwsbeelden wordt gesplitst voor beïnvloedingsoperaties. Los hiervan documenteerde GTIG Android backdoors die Gemini API-oproepen gebruiken om autonoom door geïnfecteerde apparaten te navigeren, en malwarefamilies opgevuld met AI-gegenereerde code, specifiek om analyse te verwarren.

In maart 2026 bracht de criminele groep TeamPCP LiteLLM, een veelgebruikte AI-gatewaybibliotheek, in gevaar door een credential stealer in te sluiten via vergiftigde PyPI-pakketten en kwaadaardige pull requests. De gestolen AWS-sleutels en GitHub-tokens werden te gelde gemaakt via ransomware-partnerschappen. De aanval was gericht op de integratielaag rond AI-systemen in plaats van de modellen zelf, een patroon dat volgens GTIG standaard wordt. Frontier-modellen zijn moeilijk direct te compromitteren. De connectors, wrappers en API-lagen eromheen zijn dat niet.

AI wordt niet alleen als wapen gebruikt door aanvallers. Het wordt ook gebruikt als lokmiddel. Notebookcheck heeft aangetoond hoe een valse Claude AI website vorige week de Beagle Windows achterdeur via gesponsorde zoekresultaten van Google naar buiten bracht, waarbij een installatieprogramma met Trojaanse paarden werd gebruikt om een hulpmiddel voor toegang op afstand te implementeren dat zich richtte op ontwikkelaars die zochten naar hulpmiddelen voor Claude Code