Группа анализа угроз Google недавно подтвердила первый в мире эксплойт нулевого дня, полностью созданный искусственным интеллектом. Этот эксплойт успешно обходит защиту, основанную на двухфакторной аутентификации (2FA). Открытие вводит новый уровень риска для безопасности криптоактивов: то, что ранее считалось «последней линией обороны» — 2FA — теперь демонстрирует системные уязвимости при столкновении с атакующим кодом, созданным ИИ. Для криптоиндустрии, которая полагается на 2FA для защиты приватных ключей, авторизации транзакций и обеспечения сохранности активов, это не просто техническое предупреждение — это переломный момент в парадигме безопасности.
Почему первый эксплойт нулевого дня, созданный ИИ, стал поворотным событием в сфере безопасности
Уязвимость нулевого дня — это дефект безопасности, о котором разработчики ПО не знают и который ещё не исправлен, предоставляя злоумышленникам «слепую зону» до появления защитных мер. Обычно поиск таких уязвимостей требует ручного анализа кода, обратного проектирования или тестирования «чёрного ящика» — процессов, которые занимают много времени и требуют высокой квалификации. В отличие от этого, подтверждённая Google уязвимость была полностью сгенерирована моделью ИИ. Злоумышленники просто предоставляют модели базовую информацию о целевой системе (например, спецификации интерфейса модуля аутентификации), и ИИ способен создать исполняемый эксплойт в течение нескольких часов. Важно, что такой код не обнаруживается стандартными инструментами статического анализа, поскольку логика, созданная ИИ, существенно отличается от известных шаблонов атак. Это означает, что ИИ резко снижает затраты и временные рамки на поиск уязвимостей нулевого дня, делая «массовое производство неизвестных уязвимостей» реальной угрозой.
Как эта уязвимость совершила прорыв в обходе 2FA
Основной принцип двухфакторной аутентификации — сочетание «того, что вы знаете» (пароль) и «того, что вы имеете» (динамический код, аппаратный ключ или биометрические данные). Эксплойт нулевого дня, созданный ИИ, не пытался взломать алгоритмы генерации кодов или перехватить SMS-каналы. Вместо этого он нацелился на модуль управления сессиями внутри процесса 2FA. Конкретно, сгенерированный ИИ код использовал логическую ошибку в некоторых open-source промежуточных программных средствах аутентификации при обновлении токена: после того, как пользователь проходит первичную проверку пароля, система генерирует краткосрочный идентификатор сессии и затем запрашивает код второго фактора. Эксплойт формирует последовательность запросов, из-за которой система ошибочно повышает статус сессии до «полностью аутентифицированной» до проверки второго фактора. ИИ даже автоматически создал фальшивые метаданные, включая фиктивную оценку CVSS (7,5, обозначенную как средний риск), чтобы избежать ручного приоритезации со стороны команд безопасности. Это свидетельствует о том, что ИИ научился имитировать «маскировочные тактики» человеческих исследователей безопасности, затягивая реакцию на уязвимость.
Почему 2FA долгое время был ключевым столпом безопасности криптоактивов
В сфере криптоактивов 2FA охватывает практически все критические операции: входы на биржи, подтверждение вывода средств, создание API-ключей, управление смарт-контрактами, подпись транзакций в кошельках и многое другое. В отличие от традиционных финансов, криптовалютные транзакции необратимы — успешный обход 2FA означает безвозвратную потерю активов. Большинство крупных платформ делают 2FA обязательным базовым уровнем безопасности, а пользователям регулярно напоминают «всегда включайте 2FA». Однако индустрия долгое время исходила из скрытого предположения: злоумышленники не смогут одновременно получить пароль и второй фактор. Эксплойт нулевого дня, созданный ИИ, разрушает это предположение — теперь злоумышленникам не нужно красть коды или физические устройства, они используют уязвимости, чтобы заставить систему полностью пропустить проверку 2FA. Это означает, что даже при случайных паролях, кодах, меняющихся каждые 30 секунд, или аппаратных кошельках, хранимых в изоляции, если процесс аутентификации содержит логические ошибки, которые может обнаружить ИИ, эффективность 2FA становится равной нулю.
Конкретные угрозы, которые несут уязвимости, созданные ИИ, для криптобирж и DeFi-протоколов
Для централизованных бирж такие уязвимости позволяют злоумышленникам инициировать запросы на вывод средств или получать расширенные права API без проверки 2FA. Поскольку биржи обычно позволяют пользователям выполнять полный рабочий процесс через веб-интерфейс, их модули управления сессиями сложнее, чем у стандартных приложений, что расширяет поверхность атаки. Для DeFi-протоколов риски менее очевидны: многие управляющие контракты или функции вывода средств из казны требуют мультиподписных кошельков в сочетании с устройствами 2FA (например, функция кода Ledger), но уязвимости, созданные ИИ, могут обходить 2FA на уровне фронтенда, позволяя злоумышленникам напрямую вызывать чувствительные функции бэкенда. Кроме того, кроссчейн-мосты и агрегаторы часто интегрируют несколько промежуточных программных средств аутентификации, и каждая точка интеграции может стать целью эксплойта, созданного ИИ. Особенно тревожно, что следы таких атак могут быть скрыты фальшивыми логами, сгенерированными ИИ, что делает расследование инцидентов крайне сложным.
Недооценённые структурные слабости современных защитных механизмов в криптоиндустрии
Во-первых, существует тесная связь между логикой аутентификации и бизнес-логикой: большинство платформ жёстко прописывают проверки 2FA на ключевых этапах транзакций, вместо того чтобы выделить их в отдельный слой безопасности. Это делает уязвимости аутентификации зависимыми от сложности бизнес-логики — области, где ИИ особенно эффективен в поиске нетипичных путей. Во-вторых, чрезмерная зависимость от open-source компонентов: криптопроекты широко используют проверенные open-source библиотеки аутентификации, но «проверенные» означает лишь отсутствие известных уязвимостей в конкретных версиях; это не гарантирует, что ИИ не найдёт новые эксплойты нулевого дня. В-третьих, моделирование угроз не учитывает атакующих, использующих ИИ: текущие тесты безопасности (например, пен-тесты и fuzz-тесты) рассчитаны на ограничения времени и навыков человеческих злоумышленников, тогда как ИИ способен перебрать десятки тысяч комбинаций параметров за секунды, значительно превышая традиционный охват. Наконец, механизмы реагирования отстают: обычно от раскрытия уязвимости до выпуска патча проходит от 7 до 30 дней, но эксплойты, созданные ИИ, могут быть скопированы и массово использованы другими атакующими уже через 24 часа после обнаружения.
Как криптоиндустрия должна перестроить доверенную среду выполнения для защиты от атак ИИ
Стратегии защиты должны перейти от «предположения, что 2FA всегда эффективно» к «предположению, что аутентификация неизбежно содержит уязвимости нулевого дня». Во-первых, внедрять непрерывную поведенческую аутентификацию: не ограничиваться одноразовой проверкой 2FA, а анализировать поведение пользователя (движение мыши, ритм набора, последовательность запросов) для формирования динамических оценок риска, требуя дополнительную проверку при любых отклонениях. Во-вторых, использовать аппаратно изолированные модули аутентификации: запускать логику проверки второго фактора в доверенной среде выполнения, полностью отделённой от бизнес-кода (например, на защищённых чипах или аппаратных кошельках), чтобы даже при наличии уязвимости в верхнем уровне бизнес-кода злоумышленники не могли обойти аппаратные проверки. В-третьих, внедрять системы обнаружения уязвимостей «ИИ против ИИ»: использовать генеративный ИИ для имитации поведения атакующих, постоянно тестируя процессы аутентификации на наличие эксплойтов нулевого дня, формируя цикл противостояния «красная команда ИИ против синей команды ИИ». В-четвёртых, минимизировать время жизни сессии: рассматривать каждый API-запрос или инструкцию транзакции как отдельное событие, требующее независимой аутентификации, а не полагаться на долгоживущие токены сессии.
Новые тенденции атак ИИ в криптосекторе, выявленные на основе этого события
Во-первых, полностью автоматизированное обнаружение и эксплуатация уязвимостей: в будущем ИИ не только будет находить эксплойты, но и автоматически генерировать скрипты для обхода 2FA и внедрять их в фишинговые страницы или вредоносные расширения браузера — без участия человека. Во-вторых, эксплойты нулевого дня ИИ, нацеленные на смарт-контракты: сейчас атаки фокусируются на традиционных модулях веб-аутентификации, но скоро ИИ начнёт анализировать смарт-контракты на Solidity или Rust на предмет тонких ошибок в управлении правами и блокировках повторных вызовов. В-третьих, сочетание социальной инженерии с генерацией кода: ИИ способен создавать персонализированные фишинговые письма, убеждая разработчиков скачивать зависимости с бэкдорами, причём сам бэкдор генерируется ИИ для обхода проверки сигнатур. В-четвёртых, комплексные атаки на разные протоколы: ИИ может одновременно анализировать процессы аутентификации нескольких DeFi-протоколов, автоматически выявляя пути атаки «получить низкие права в протоколе A + повысить в протоколе B через уязвимость» — что значительно превосходит возможности человеческих злоумышленников.
Немедленные меры для снижения рисков, которые могут принять пользователи и платформы
Для платформ рекомендуется три шага: провести аудит всего кода управления сессиями с 2FA, уделяя внимание тому, могут ли переходы состояния токена обходить проверки; внедрить системы контроля рисков в реальном времени на основе обнаружения аномалий, блокируя и оповещая о любых запросах, получающих расширенные права без полного набора 2FA-данных; активировать многоуровневую, взаимоисключающую аутентификацию — например, требовать подпись аппаратного кошелька и независимое подтверждение через мобильное приложение для вывода средств, используя отдельные каналы связи. Для индивидуальных пользователей, до устранения уязвимостей платформами: отдавать предпочтение физическим аппаратным ключам (например, FIDO2) вместо временных одноразовых кодов (TOTP), поскольку аппаратные ключи сложнее обойти на уровне протокола; ограничивать права API, устанавливать минимально необходимые привилегии и привязывать API-ключи к белому списку IP-адресов; использовать холодные кошельки для хранения крупных активов и полностью отделять процессы холодного хранения от любых онлайн-сред, где требуется 2FA.
Резюме
Подтверждение Google первой уязвимости нулевого дня, созданной ИИ и способной обходить 2FA, напрямую подрывает ключевое предположение безопасности, на котором долгое время держалась индустрия криптоактивов. Техническая уникальность заключается в том, что ИИ не только обнаруживает ошибки управления сессиями, но и автоматически генерирует эксплойт с маскировкой уровня риска, что свидетельствует о переходе атак ИИ из теории в практику. Для бирж, DeFi-протоколов и провайдеров кошельков исправление отдельных уязвимостей уже недостаточно для противостояния волне эксплойтов нулевого дня, созданных ИИ. Индустрии необходимо фундаментально перестроить системы аутентификации: внедрять непрерывную поведенческую аутентификацию, аппаратные изолированные модули, противостояние ИИ, минимизировать время жизни сессий. Для пользователей критически важно немедленно перейти на аппаратные ключи, холодное хранение и детальное управление правами. Это событие — не единичное предупреждение, а начало смены парадигмы в безопасности: защита криптоактивов должна перейти от «блокирования известных атак» к «постоянной борьбе с уязвимостями, генерируемыми ИИ».
FAQ
Вопрос: Требуются ли технические навыки для использования эксплойтов нулевого дня, созданных ИИ?
Нет. Злоумышленникам достаточно предоставить спецификации интерфейса целевой системы или описание процесса аутентификации, и модель ИИ автоматически создаст пригодный для использования эксплойт. Это значительно снижает порог для применения уязвимостей нулевого дня.
Вопрос: Могут ли аппаратные ключи безопасности (например, YubiKey) полностью защитить от таких атак?
Аппаратные ключи на протоколе FIDO2 отделяют аутентификацию от бизнес-сессий на базовом уровне, что делает их гораздо сложнее для обхода через уязвимости управления сессиями по сравнению с приложениями на TOTP. Однако если уязвимость находится в реализации протокола аутентификации, а не в бизнес-логике, аппаратные ключи также могут быть подвержены риску. Самый безопасный подход сегодня — комбинировать аппаратные ключи с независимой подписью транзакций в холодном хранилище.
Вопрос: Как обычные пользователи могут узнать, исправила ли их платформа такие уязвимости?
Пользователи не могут проверить это напрямую. Лучше следить за официальными заявлениями о безопасности платформ и отдавать предпочтение тем, кто публично заявляет о тестировании безопасности с участием ИИ и использовании аппаратно изолированной аутентификации. Также рекомендуется включить белый список адресов для вывода средств и функцию задержки вывода для аккаунтов с включённой 2FA.
Вопрос: Следует ли полностью отказаться от 2FA для криптоактивов?
Нет, но необходимы обновления. 2FA по-прежнему защищает от большинства традиционных атак (например, утечек паролей и кейлоггеров). До массового устранения эксплойтов нулевого дня, созданных ИИ, используйте 2FA как один из слоёв многоуровневой защиты, а не единственную опору. Наилучшая практика сейчас — сочетание аппаратных ключей, биометрии, анализа поведения и контроля лимитов транзакций.
