Google: hakerzy nadużywają Gemini na każdym etapie ataku — od rekonesansu po eksfiltrację danych

Wprowadzenie do problemu / definicja luki

Google Threat Intelligence Group (GTIG) ostrzega, iż państwowe grupy APT oraz cyberprzestępcy wykorzystują Gemini (zarówno jako aplikację, jak i przez API) do „podkręcania” praktycznie całego łańcucha ataku: od OSINT i profilowania celu, przez generowanie przynęt phishingowych, aż po development C2 i wsparcie eksfiltracji. To nie jest jedna „luka” w rozumieniu CVE — to systemowe ryzyko nadużycia generatywnej AI jako akceleratora TTP (tactics, techniques, procedures).

W skrócie

• GTIG opisuje, iż Gemini jest nadużywane w każdej fazie kampanii (rekonesans → phishing → kodowanie/narzędzia → C2 → działania post-compromise → eksfiltracja).
• Wskazano przykłady użycia przez aktorów z Chin, Iranu, Korei Płn. i Rosji (m.in. APT31, APT42, UNC2970).
• Obok „klasycznych” zastosowań (tłumaczenia, research, troubleshooting) rośnie zainteresowanie agentic AI (bardziej autonomiczne przepływy pracy) w kontekście ofensywnym.
• Google sygnalizuje też wzrost ataków typu model extraction / knowledge distillation: masowe odpytywanie modeli w celu „skopiowania” ich zachowań i przeniesienia know-how do innych modeli (ryzyko głównie biznesowe/IP, ale potencjalnie wpływowe systemowo).

Kontekst / historia / powiązania

GTIG od co najmniej 2025 r. publikuje cykliczne materiały o nadużyciach GenAI. W styczniu 2025 Google wskazywał, iż AI pomaga aktorom głównie w zadaniach „produktywnościowych” (research, generowanie treści, pomoc w skryptach), ale nie widać „game-changera” w postaci zupełnie nowych technik.

Jesienią 2025 narracja przesunęła się w stronę operacyjnej integracji AI z toolingiem, w tym koncepcji „just-in-time AI w malware” (LLM wykorzystywany w trakcie działania złośliwego kodu do generowania/transformacji elementów w locie).

Dzisiejsza aktualizacja (12 lutego 2026) wzmacnia tezę, iż jesteśmy w fazie „integracji i eksperymentowania”: AI ma być nie tylko asystentem analityka/przestępcy, ale komponentem procesów i narzędzi.

Analiza techniczna / szczegóły luki

1) „Pełny kill chain” wspierany przez Gemini

Z perspektywy obrony ważne jest to, iż GTIG nie opisuje jednego scenariusza nadużycia, tylko powtarzalny wzorzec:

• Rekonesans i profilowanie (OSINT): zbieranie danych o organizacji, rolach, technologii, podatnościach, identyfikacja „soft targets”.
• Phishing i social engineering: generowanie dopasowanych przynęt, dopracowywanie narracji, wariantów językowych i stylu.
• Tooling i kodowanie: debugowanie, generowanie fragmentów kodu, przygotowanie prostych komponentów (np. skrypty, webshell, elementy C2) oraz „pomoc techniczna” w trakcie prac.
• Vulnerability research / testowanie: w raporcie pojawia się przykład aktora z Chin, który miał prosić model o analizę podatności i plan testów (np. RCE/WAF bypass/SQLi) w kontekście spreparowanego scenariusza.
• Post-compromise / eksfiltracja: wsparcie w działaniach po uzyskaniu dostępu, w tym elementy związane z wynoszeniem danych.

2) Przykłady nadużyć i „AI w malware”

BleepingComputer, streszczając wnioski Google, wskazuje m.in. na:

• wykorzystywanie Gemini do rozbudowy funkcji w narzędziach/malware (np. elementy związane z phishing kitami czy downloaderami),
• wzmiankę o frameworku PoC, który używa Gemini API do generowania kodu drugiego etapu (istotne jako sygnał kierunku, choćby jeżeli to jeszcze nie „masowa broń”).

3) Model extraction i knowledge distillation

Drugi wątek, który warto wyciągnąć na pierwszy plan (bo bywa pomijany w dyskusji o „AI dla hakerów”), to kradzież własności intelektualnej modeli:

• poprzez legalny (na papierze) dostęp do API i masowe odpytywanie modelu,
• z celem odtworzenia zachowania/zdolności i „przeniesienia” tego do innego modelu (distillation).

To może uderzać w biznes AI-as-a-service, ale długofalowo może też zwiększać dostępność „dobrych” zdolności w modelach mniej kontrolowanych.

Praktyczne konsekwencje / ryzyko

1. Szybsze kampanie i większa skala „tailored” ataków
   Jeśli rekonesans, copywriting phishingu i iteracje narzędzi realizowane są krócej, rośnie wolumen prób i jakość socjotechniki — zwłaszcza w językach lokalnych.
2. Niższy próg wejścia dla części przestępców, ale też lepsza „ergonomia” pracy APT
   Raporty GTIG sugerują, iż choćby jeżeli AI nie tworzy „magicznych” nowych technik, to realnie poprawia efektywność operacyjną.
3. Ryzyko reputacyjne i regulacyjne związane z użyciem GenAI w organizacji
   W praktyce zespoły IT/SecOps mogą mieć do czynienia z: wrażliwymi danymi w promptach, problemami licencyjnymi/IP, oraz koniecznością monitorowania użycia narzędzi AI.
4. Nowa klasa zagrożeń dla dostawców modeli (ekstrakcja/dystylacja)
   To ryzyko „platformowe” — może wpływać na to, jak gwałtownie i gdzie pojawiają się modele o zbliżonych zdolnościach, ale słabszych barierach bezpieczeństwa.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC / Blue Team

• Zaktualizuj playbooki phishingowe o scenariusze „hiper-dopasowanych” przynęt (język, styl, kontekst stanowiska) i wzmocnij procesy weryfikacji poza e-mailem (np. callback, zasady dla zmian płatności/danych).
• Monitoruj wzorce ClickFix / „uruchom polecenie z instrukcji” i inne kampanie oparte o nakłanianie użytkownika do wykonania kroków w systemie (to trend, który napędza też content generowany przez AI).
• Wzmocnij detekcje wokół etapów: initial access → execution → C2 → exfil (AI przyspiesza przygotowanie, ale w środowisku przez cały czas zostają artefakty).

Dla bezpieczeństwa aplikacji i DevSecOps

• Załóż, iż przeciwnik szybciej iteruje payloady i skrypty: zwiększ nacisk na hardening, kontrolę egress, segmentację i polityki uprawnień.
• Traktuj „prompt injection” i ryzyka LLM w produktach jako osobną kategorię, ale nie zaniedbuj podstaw — raporty GTIG wciąż wskazują, iż przeciwnicy często bazują na znanych technikach, tylko szybciej je wdrażają.

Dla governance (CISO / IT)

• Wprowadź jasne zasady użycia GenAI: klasyfikacja danych, zakaz wklejania sekretów, logowanie i audyt użycia (zwłaszcza integracji przez API).
• Oceń ryzyko vendorów i narzędzi „AI coding” pod kątem: wycieku IP, zależności, oraz ścieżek nadużyć.

Różnice / porównania z innymi przypadkami

• Styczeń 2025: „AI pomaga, ale nie zmienia gry” — dużo researchu, treści i troubleshooting, mało dowodów na nowe techniki.
• Listopad 2025 → luty 2026: rośnie sygnał integracji AI w narzędziach i w trakcie operacji (w tym zainteresowanie agentic AI) oraz tematy „platformowe” jak dystylacja/ekstrakcja modeli.

Podsumowanie / najważniejsze wnioski

• Gemini (i szerzej: GenAI) staje się uniwersalnym akceleratorem dla atakujących: szybciej robią OSINT, lepiej piszą przynęty, sprawniej iterują narzędzia i kod.
• Największe ryzyko „tu i teraz” to skala i personalizacja socjotechniki oraz krótszy cykl przygotowania kampanii.
• Równolegle rośnie wątek model extraction / distillation — nie tyle „atak na użytkownika”, co na ekosystem AI i ekonomię usług AI.
• Obrona powinna łączyć: twarde podstawy (MFA, segmentacja, egress, monitoring) + procesy anty-phishing + governance użycia AI w organizacji.

Źródła / bibliografia

1. BleepingComputer — „Google says hackers are abusing Gemini AI for all attacks stages” (12.02.2026). (BleepingComputer)
2. Google Cloud Blog (GTIG) — „Distillation, Experimentation, and (Continued) Integration of AI for Adversarial Use” (12.02.2026). (Google Cloud)
3. Google Cloud Blog (GTIG) — „Advances in Threat Actor Usage of AI Tools” (05.11.2025). (Google Cloud)
4. Google Cloud Blog (GTIG) — „Adversarial Misuse of Generative AI” (29.01.2025). (Google Cloud)
5. The Register — kontekst dot. APT31 i wątku dystylacji/agentic AI (12.02.2026). (The Register)