Google: Så används Gemini i cyberattacker

En ny rapport från Google Threat Intelligence Group visar att statsstödda grupper kopplade till Kina, Iran, Nordkorea och Ryssland har använt Gemini i sina operationer.

Enligt Google handlar det inte om helt nya metoder – utan om att gamla angreppssätt går snabbare.

AI snabbar upp hela kedjan

I rapporten beskriver Google hur angripare har använt Gemini för att samla in information om mål, skriva övertygande nätfiskemeddelanden, översätta texter, få hjälp med kodning och testa sårbarheter.

Det rör sig också om felsökning under pågående intrång – till exempel när skadlig kod inte fungerar som tänkt.

Läs också: Nvidia passerade 4 000 miljarder dollar

– AI fungerar som en accelerator, inte som magi, konstaterar Googles forskare enligt rapporten.

Attackers har länge arbetat med rekognosering, skrivit bluffmejl, justerat skadeprogram och löst tekniska problem. Skillnaden nu är tempot. Med snabb hjälp för omskrivningar, språkanpassningar och kodfixar minskar hindren i processen.

Kopplingar till Kina och andra länder

Google uppger att man sett aktivitet kopplad till aktörer med band till Kina, där en operatör ska ha använt en påhittad expertroll inom cybersäkerhet för att få Gemini att automatisera sårbarhetsanalyser och ta fram riktade testplaner.

En annan Kina-baserad aktör ska enligt Google upprepade gånger ha använt verktyget för felsökning, teknisk research och vägledning i samband med intrång.

Läs också: Apple vill köpa F1-rättigheterna

Även kluster kopplade till Iran, Nordkorea och Ryssland förekommer i materialet, enligt bolaget.

Mer än bara nätfiske

Google betonar att hotbilden inte begränsas till spam och phishing.

Den stora förändringen är hastigheten. Om angripare kan justera sina verktyg snabbare och förbättra sina attacker i realtid får försvarare kortare tid mellan första varningssignal och faktisk skada.

Det innebär också färre pauser där misstag eller upprepade manuella moment annars hade kunnat upptäckas i loggar.

Läs också: Samsung fortsätter med galna priser

Risk för att AI-modeller kopieras

Rapporten lyfter dessutom ett annat hot: så kallad modellutvinning och kunskapsdestillering.

Enligt Google kan aktörer med legitim API-åtkomst skicka stora mängder frågor till systemet för att kartlägga hur modellen resonerar och presterar. Den insamlade kunskapen kan sedan användas för att träna en annan modell.

Google beskriver det som ett kommersiellt och immaterialrättsligt hot – med potentiella säkerhetsrisker om det sker i större skala.

I ett exempel nämns omkring 100 000 frågor som ska ha använts i ett försök att återskapa modellens beteende i icke-engelska uppgifter.

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns

Google: Konton har stängts av

Google uppger att man har stängt av konton och infrastruktur kopplade till den dokumenterade missbruket av Gemini. Företaget säger också att man har förstärkt skydden i verktygets klassificeringssystem och fortsätter att testa säkerhetsbarriärer.

För säkerhetsteam innebär utvecklingen att man måste räkna med snabbare attacker – inte nödvändigtvis mer sofistikerade.

Att plötsligt förbättrade phishingmejl, snabbare verktygsutveckling eller ovanliga API-mönster dyker upp kan vara signaler att bevaka.

Tempot, snarare än tekniken i sig, riskerar enligt Google att bli angriparnas största fördel.

Läs också: Samsung Galaxy Z Fold7: Tunnare, starkare och snabbare