Google sai kiinni rikolliset, jotka käyttivät tekoälyä tuntemattoman haavoittuvuuden löytämiseen
Tekoälyn pelätty rooli hyökkääjien työkaluna ei ole enää tulevaisuutta. Googlen tutkijat tunnistivat ensimmäisen tapauksen, jossa rikollinen valjasti tekoälymallin etsimään aukon, jota kukaan ei vielä tiennyt olevan olemassa.
Tiivistelma
Google Threat Intelligence Group kertoo havainneensa ensimmäistä kertaa rikollisen, joka käytti tekoälyä nollapäivähaavoittuvuuden löytämiseen ja sen hyväksikäyttökoodin rakentamiseen. Sama raportti kuvaa PROMPTSPY-haittaohjelman, joka ohjaa tartunnan saanutta Android-puhelinta tekoälyavustajan avulla. Suomessa ilmiö tunnistetaan, vaikka tämä tapaus ei ole suomalainen.
Tekoälyn ja kyberrikollisuuden yhteentörmäystä on povattu vuosia. Nyt Google sanoo, että se on jo tapahtunut. Yhtiön uhkatiedusteluyksikkö Google Threat Intelligence Group ja Mandiant julkaisivat 11. toukokuuta raportin, jossa ne tunnistivat ensimmäistä kertaa suurella varmuudella rikollisen, joka käytti tekoälymallia ennestään tuntemattoman haavoittuvuuden löytämiseen ja sen hyväksikäyttökoodin rakentamiseen.
Kyse ei ollut tavallisesta kuluttajatuotteesta. Aukko löytyi laajalti käytetystä avoimen lähdekoodin palvelinhallintatyökalusta, sellaisesta selainpohjaisesta hallintatyökalusta, jollaisia ylläpitäjät käyttävät päivittäin. Virhe mahdollisti kaksivaiheisen tunnistautumisen ohittamisen. Google kertoo ilmoittaneensa virheestä työkalun valmistajalle ja arvioi, että havainto saattoi estää suunnitellun joukkohyväksikäyttökampanjan.
Nollapäivähaavoittuvuus (zero-day)
Nollapäivähaavoittuvuus on ohjelmistovirhe, jota sen valmistaja ei vielä tiedä olevan olemassa. Korjausta ei siis ole saatavilla, ja hyökkääjillä on etumatka niin kauan kuin aukko pysyy salassa.
Mistä Google tiesi tekoälyn osuuden
Kuinka tutkijat saattoivat olla varmoja, että koodi oli tekoälyn kirjoittamaa? Hyväksikäyttökoodi oli Python-skripti, ja siinä oli tekoälylle tyypilliset jäljet. Oppikirjamainen muotoilu, runsaat koodikommentit ja kohta, joka paljasti kaiken. Skriptiin oli keksitty vakavuusluokitus, niin sanottu CVSS-pisteytys, jota ei ollut olemassa.
Itse haavoittuvuus oli logiikkavirhe, jossa järjestelmä luotti johonkin kovakoodattuun oletukseen. Juuri tällaiset virheet kielimallit löytävät hyvin, kun taas perinteinen automaattinen testaus ohittaa ne usein. Mittasuhteet kannattaa silti pitää mielessä. Hyväksikäyttö vaati toimiakseen ihan kelvolliset käyttäjätunnukset.
– On väärinkäsitys, että tekoälyn ja haavoittuvuuksien kilpajuoksu olisi vasta tulossa. Todellisuudessa se on jo alkanut, sanoo John Hultquist, Google Threat Intelligence Groupin johtaja.
PROMPTSPY ohjaa puhelinta itsekseen
Tavalliselle puhelimen käyttäjälle konkreettisempi uhka löytyy saman raportin toisesta osasta. Google kuvaa PROMPTSPY-nimisen Android-haittaohjelman, joka väärinkäyttää Gemini-tekoälyavustajaa liikkuakseen tartunnan saaneessa puhelimessa omin päin. Se kykenee kaappaamaan biometristä dataa ja estämään jopa oman poistamisensa.
Google kertoo, ettei PROMPTSPY ole koskaan ollut saatavilla Google Playssa ja että Play Protect tunnistaa ja torjuu sen. Haittaohjelma leviää siis virallisen kaupan ulkopuolelta, sivuladattujen sovellusten ja epämääräisten linkkien kautta. Juuri tähän tekoälyn rooli osuu konkreettisesti. Avustaja hoitaa puhelimen ohjaamisen, johon rikollinen tarvitsi ennen erikseen rakennetun ohjauskoodin.
Raportissa kuvataan myös laajempaa kuvaa. Pohjoiskorealainen valtiollinen ryhmä APT45 lähetti tuhansia kehotteita tekoälytyökaluille hyväksikäyttökoodien varmistamiseen, ja kiinalaiset toimijat tutkivat tekoälyn avulla reitittimien ja laiteohjelmistojen virheitä. Punainen lanka on sama. Tekoäly laskee uskottavan haittaohjelman ja hyväksikäyttökoodin tuottamiseen tarvittavaa hintaa ja osaamisvaatimusta.
Suomessa ilmiö tunnistetaan
Tätä artikkelia kirjoitettaessa yksikään suomalaisyritys ei ole tapauksessa mukana, eikä Kyberturvallisuuskeskus tai Traficom ole kommentoinut juuri tätä Googlen raporttia. Ilmiö on silti viranomaisten tutkassa. Kyberturvallisuuskeskus on kuvannut vuotta 2026 murroskohdaksi, jossa tekoäly vahvistaa hyökkääjien asemaa.
Tämän jutun ydin koskee siis suomalaista lukijaa vasta välillisesti. Trendi koskettaa kuitenkin kaikkia, sillä halvempi ja helpompi rikollisuus tarkoittaa enemmän hyökkäyksiä. Suomessa tietoturvasta vastaavat tahot ovat kuvanneet kehitystä juuri tällä logiikalla. Kun osaamiskynnys laskee, hyökkääjien joukko kasvaa.
Mitä tehdä
Tämä ei ole suoraan lukijaan kohdistuva huijaus, joten neuvotkin ovat rajalliset ja koskevat lähinnä puhelimen perushygieniaa.
- Asenna Android-sovelluksia vain Google Playstä ja pidä Play Protect päällä.
- Pidä puhelimen käyttöjärjestelmä ja sovellukset päivitettyinä.
- Suhtaudu varauksella sovelluksiin, jotka vastustavat poistamista tai pyytävät epätavallisia oikeuksia.
- Pidä kaksivaiheinen tunnistautuminen käytössä, mutta muista, ettei se ole aukoton. Suosi tunnistussovellusta tai pääsyavainta tekstiviestikoodien sijaan.
Epäilyttävistä havainnoista voi ilmoittaa Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi. Hultquistin sanoma tiivistyy yhteen ajatukseen. Pelätty murros ei odota tulevaisuudessa, vaan se on jo täällä.