Ryska hackare använder AI för att automatisera cyberattacker

När AI blir ett tveeggat svärd i cybersäkerhetens värld

Artificiell intelligens har hittills främst varit cybersäkerhetens vän – vi har använt maskininlärning för att upptäcka intrång, analysera skadlig kod och förstärka våra försvar. Men nu visar det sig att hackarna också har lärt sig att vända tekniken mot oss.

Googles säkerhetsgrupp Google Threat Intelligence Group har upptäckt något som borde få alla utvecklare att höja på ögonbrynen: ryska hackare använder nu AI-verktyg i en sofistikerad dubbelstrategi. Först låter de artificiell intelligens skanna efter tidigare okända sårbarheter i mjukvara. Sedan använder de samma teknik för att automatiskt utveckla skadeprogram som kan utnyttja precis dessa brister.

Upptäckten gjordes när Google analyserade Operation Overload, en omfattande cyberattack som spårats till pro-ryska hackargrupper. Det som gjorde denna kampanj särskilt oroväckande var inte bara omfattningen, utan metodiken – ett helt automatiserat angreppssätt som tidigare krävt månader av manuellt arbete.

Från månader till minuter

För att förstå revolutionen här behöver vi titta på hur cyberbrottslingar traditionellt arbetat. Att hitta en noll-dagssårbarhet – alltså en säkerhetsbrist som mjukvarutillverkaren ännu inte känner till – har historiskt krävt djup teknisk expertis och enormt tålamod. Experter kunde spendera månader på att granska kod rad för rad, leta efter de små misstag som öppnar dörrar för intrång.

Sedan, när en sårbarhet väl upptäckts, började nästa fas: att utveckla exploateringskod som faktiskt kan utnyttja bristen. Även detta krävde specialistkompetens och tid.

Med AI-stöd förändras spelplanen fundamentalt. Enligt Computer Sweden kan hela denna process nu automatiseras och accelereras dramatiskt. Maskininlärningsmodeller kan analysera enorma kodbaser på bråkdelar av tiden det skulle ta mänskliga experter, och sedan generera funktionell exploateringskod nästan omedelbart.

Verkliga konsekvenser syns redan

Den här utvecklingen är inte bara teoretisk. Parallellt med Googles varning har en storskalig attack kallad "Mini Shai-Hulud" drabbat över 170 öppna programvarupaket i NPM- och PyPI-systemen. Attacken, som misstänks genomföras av hackargruppen TeamPCP, visar hur sårbarheter i leverantörskedjor kan exploateras systematiskt.

De drabbade paketen inkluderar populära projekt från välkända företag som Tanstack, Mistral AI, Opensearch och UiPath. Den skadliga koden smugglades in via komprometterade Github Actions-arbetsflöden och riktade in sig på utvecklares känsligaste tillgångar: inloggningsuppgifter, programmeringsgränssnittnycklar, molnhemligheter och till och med lösenord till kryptoplånböcker.

Vad som gör detta särskilt cyniskt är att angriparna utnyttjade den öppna källkodens egen styrka – förtroendet och samarbetet mellan utvecklare – som en svaghet. Genom att infektera paketen via den ordinarie utgivningsprocessen kunde de sprida skadlig kod som såg helt legitim ut.

Kapprustning i cyberrymd

Det vi ser nu är början på en ny fas av cyberkrigföring. När AI kan automatisera både upptäckt och exploatering av sårbarheter förändras inte bara hastigheten på angrepp – det förändrar också vem som kan genomföra dem. Tidigare krävdes elithackare med djup teknisk kunskap. Nu räcker det med tillgång till rätt AI-verktyg och träningsdata.

Detta skapar en kapprustningssituation där försvarssidan måste utveckla sina AI-baserade skydd i samma takt som angrepparna förbättrar sina metoder.