Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Google bevestigt eerste door AI gemaakte Zero-Day. Wat verandert er nu.
Google bevestigt eerste door AI gemaakte Zero-Day. Wat verandert er nu.

Google bevestigt eerste door AI gemaakte Zero-Day. Wat verandert er nu.

by Patrick Spencer updated mei 28, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 7 minutes

Op 11 mei 2026 publiceerde Google’s Threat Intelligence Group (GTIG) bewijs dat een cybercrimegroep een AI-model gebruikte om een zero-day-kwetsbaarheid te identificeren en hiervoor een Python-exploit te schrijven: een 2FA-bypass die voortkwam uit een hardgecodeerde vertrouwensaanname in de authenticatiehandhaving. Google werkte samen met de getroffen leverancier om de kwetsbaarheid te melden en te patchen voordat de dreigingsactor de geplande massale uitbuitingscampagne kon uitvoeren, zoals GTIG beschrijft. GTIG identificeerde AI-auteurschap aan de hand van signalen in de code zelf: een gefantaseerde CVSS-score, informatieve docstrings, Python-code in leerboekstijl die overeenkomt met LLM-trainingsdata.

Waar de AI goed in was, is precies het onderdeel dat het denken van verdedigers zou moeten veranderen. Traditionele fuzzers en statische analysetools zijn geoptimaliseerd om sinks, crashes en onjuiste input-sanitatie te detecteren. Ze zijn structureel slecht in het vinden van logische fouten op hoog niveau—het soort waarbij een ontwikkelaar een vertrouwensaanname schrijft die in tegenspraak is met de eigen authenticatiehandhaving van de applicatie. Redeneervermogen van LLM’s is hier juist niet slecht in. De 2FA-bypass bewees dit op productieschaal.

5 Belangrijkste Inzichten

1. AI hielp voor het eerst bij het bouwen van een werkende zero-day.

Google’s Threat Intelligence Group bevestigde dat een cybercrimegroep een AI-model gebruikte om een 2FA-bypass te ontdekken en te wapenen in een populair open-source admin-tool, waarna een massale uitbuitingscampagne werd gepland. Dit is de eerste publiekelijk bevestigde AI-gecreëerde zero-day in het wild. Het zal niet de laatste zijn—het is de eerste die is ontdekt. De volgende exploit zal niet dezelfde forensische sporen achterlaten. AI-governanceprogramma’s die alleen op patchsnelheid zijn gebouwd, werken nu al op basis van een verkeerde aanname.

2. De AI vond een fout die scanners slecht kunnen vinden.

De kwetsbaarheid was een semantische logische fout op hoog niveau—een hardgecodeerde vertrouwensaanname—het soort contextuele fout die fuzzers en statische analysetools routinematig missen, maar die redeneervermogen van LLM’s betrouwbaar kan blootleggen. GTIG-onderzoekers bevestigden dat frontier-LLM’s “een toenemend vermogen hebben om contextueel te redeneren, waarbij ze effectief de intentie van de ontwikkelaar lezen om 2FA-handhavingslogica te correleren met de tegenstrijdigheden van hardgecodeerde uitzonderingen.” Dat is een nieuwe aanvallerscapaciteit. Het leverde een werkende exploit op.

3. De “tells” van de exploit waren leerboek-LLM-output.

Een gefantaseerde CVSS-score, educatieve docstrings, een nette ANSI-kleurklasse en gedetailleerde helpmenu’s verraadden het AI-auteurschap. De volgende exploit zal niet zo makkelijk te herkennen zijn. Dreigingsactoren leren, en het wegwerken van deze sporen is een klus van een week voor elke operator die het GTIG-rapport heeft gelezen. Organisaties die hun incident response-plannen nu bijwerken—nu het geval nog vers is—lopen voor op de openbaarmaking die het gesprek voor iedereen zal forceren.

4. Frontier-lab-guardrails zijn niet de volledige verdediging.

GTIG meldde dat noch Gemini, noch het Mythos-model van Anthropic werd gebruikt. Dreigingsactoren omzeilen de veiligheidscontroles van frontier-labs via grijze-markt-proxyservices en geautomatiseerde accountpooling. Open-weight modellen en grijze-markt-proxies zijn voldoende voor de contextuele redeneertaak die de 2FA-bypass opleverde. Veiligheid bij één lab betekent geen veiligheid in het hele ecosysteem—en het ecosysteem is waar schaduw-AI-risico en supply chain-aanvalspaden samenkomen.

5. De verdedigingsmaatregel die telt, zit in de data layer.

Patching is noodzakelijk maar reactief. Organisaties die data-toegang beheren via identiteitsverificatie, ABAC-beleidshandhaving en manipulatiedetecterende audit logs beperken de impact wanneer—niet als—de volgende AI-gecreëerde exploit toeslaat. De aanvaller vindt de fout sneller en maakt er sneller een wapen van. Ze moeten echter nog steeds bij de data komen om schade aan te richten. De data layer is waar de blijvende controle zit.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het bewijzen?

Lees nu

De echte ontwikkeling is de snelheidscompressie

GTIG-hoofdanalist John Hultquist vertelde aan Infosecurity Magazine: “Er bestaat een misvatting dat de AI-kwetsbaarheidsrace op het punt staat te beginnen. De realiteit is dat deze al begonnen is. Voor elke zero-day die we naar AI kunnen herleiden, zijn er waarschijnlijk nog veel meer.” Het CrowdStrike 2026 Global Threat Report documenteerde een stijging van 89% in AI-ondersteunde aanvalleractiviteit op jaarbasis, een stijging van 42% in zero-day-exploits en een gemiddelde eCrime-uitbraakduur van 29 minuten.

Als je kwetsbaarheidsdetectie, bewapening en exploitatie op dezelfde tijdlijn comprimeert, stort het tijdsvenster voor verdedigers in. De traditionele incident response-cyclus—detecteren, triageren, beheersen, uitroeien—gaat uit van tijd tussen het beschikbaar zijn van een exploit en het op grote schaal gebruiken ervan. Door AI ondersteunde dreigingsactoren elimineren die tijd. En de volgende reeks AI-gecreëerde exploits zal niet de gefantaseerde CVSS-score bevatten die deze verried.

Statelijke actoren opereren al op schaal

De bredere bevindingen van het GTIG-rapport maken het cybercrimegeval bescheiden. North Korean APT45 is waargenomen terwijl duizenden herhalende prompts naar AI-modellen werden gestuurd om kwetsbaarheden recursief te analyseren en proof-of-concept-exploits te valideren—een arsenaal dat handmatig onpraktisch te beheren is. UNC2814, een aan China gelieerde actor, gebruikte expert-persona jailbreaking om Gemini te laten zoeken naar pre-authenticatie RCE-fouten in routerfirmware. Een China-nexus-actor werd waargenomen die Hexstrike- en Strix-agentic frameworks gebruikte naast het Graphiti-geheugensysteem om autonoom een Japans technologiebedrijf en een Oost-Aziatisch cybersecurityplatform te onderzoeken, waarbij werd geschakeld tussen verkenningstools zonder voortdurende operatorbetrokkenheid.

Agentic AI is niet langer alleen een conferentieonderwerp. Het is een operationeel dreigingsmiddel met gedocumenteerde use cases tegen benoemde slachtoffercategorieën. De aanvallersstack is niet één doorbraak-exploit—het zijn tientallen incrementele capaciteitsverhogingen die samen elke stap van de kill chain comprimeren.

De supply chain is het tweede front

De GTIG AI Threat Tracker documenteerde ook dat Russia-nexus-actoren malwarefamilies inzetten—CANFAIL en LONGSTREAM—die AI-gegenereerde afleidingscode gebruiken om kwaadaardige functionaliteit te verbergen, met door LLM geschreven commentaar dat expliciet codeblokken als ongebruikte opvulling beschrijft. Een supply chain-incident in maart 2026 onderstreepte het praktische effect: criminele groep TeamPCP compromitteerde GitHub-repositories, waaronder die van de LiteLLM AI-gatewaybibliotheek en de Trivy-kwetsbaarheidsscanner, en plaatste een credential stealer genaamd SANDCLOCK in getroffen buildomgevingen om AWS-sleutels en GitHub-tokens te extraheren, die later werden gebruikt in ransomware-partnerschappen.

De LiteLLM-compromittering is een kanarie. LiteLLM wordt breed gebruikt om applicaties te koppelen aan diverse AI-providers. Blootstelling van API-geheimen uit dat pakket geeft aanvallers toegang tot de AI-omgeving van een organisatie—waardoor verkenning en dataverzameling op schaal mogelijk wordt van binnenuit bedrijfsnetwerken. Het risico in de supply chain is niet langer abstract; het heeft gedocumenteerde slachtoffers en een gedocumenteerd exfiltratiemechanisme.

De data layer is de laatste verdedigingslinie

Dit is de operationele consequentie: snellere kwetsbaarheidsdetectie en exploitatie verminderen de waarde van perimeterbeveiliging. Patching blijft essentieel, maar de tijd tussen openbaarmaking en bewapening krimpt richting nul. De controles die ertoe doen zijn die welke schade beperken als een exploit toeslaat—niet die welke het initiële datalek voorkomen.

Het Kiteworks 2026 Forecast Report documenteerde een gat van 15 tot 20 punten tussen AI-governance (monitoring, human-in-the-loop) en AI-containment (purpose binding, kill switch, netwerkisolatie). 54% van de raden van bestuur heeft AI-governance niet in hun top vijf onderwerpen—en deze organisaties voeren ongeveer half zo vaak AI-impactbeoordelingen uit als organisaties met betrokken raden. Dit zijn tekortkomingen in het control-plane, geen bewustzijnstekorten. Het gat wordt nu gemeten aan de hand van aanvallers die operationeel AI inzetten om hun kill chain te comprimeren.

Hoe Kiteworks de nieuwe realiteit benadert

Het architecturale antwoord op door AI gecomprimeerde kwetsbaarheidstijdlijnen is governance op de data layer. De aanvaller vindt de fout sneller en maakt er sneller een wapen van—maar moet nog steeds bij de data komen om schade aan te richten. Als elke datainteractie wordt geauthenticeerd, geautoriseerd volgens ABAC-beleid, versleuteld met FIPS 140-3 gevalideerde cryptografie en vastgelegd in een manipulatiedetecterende audittrail, is een gecompromitteerde perimeter geen datalek. De data blijft onder controle.

De Kiteworks Secure MCP Server en AI Data Gateway breiden zero-trust data-toegang uit naar LLM-applicaties en RAG-pijplijnen—dus wanneer AI-agenten bedrijfsdata benaderen, wordt elke handeling op de data layer gereguleerd in plaats van vertrouwd op modelniveau. Het Kiteworks Private Data Network breidt deze architectuur uit over e-mail, bestandsoverdracht, MFT, SFTP, webformulieren en API’s onder één beleidsengine en één geconsolideerde auditlog. Wanneer een gecompromitteerde agent of aanvaller data probeert te benaderen waarvoor geen toestemming is, weigert de beleidsengine—en de log registreert de poging.

Wat securityleiders dit kwartaal moeten doen

Ten eerste, behandel door AI ondersteunde exploitatie als uitgangspunt. Het GTIG-geval biedt raden van bestuur een gedocumenteerd incident, geen hypothetisch scenario. 54% van de raden heeft AI-governance nog steeds niet in hun top vijf onderwerpen. Het gesprek in de boardroom moet dit kwartaal veranderen, gebaseerd op de GTIG-onthulling in plaats van abstract risico.

Ten tweede, geef prioriteit aan blast-radiuscontroles boven initiële toegangscontroles. Purpose binding, kill switches en netwerkisolatie zijn de controles die bepalen hoe ernstig een door AI ondersteund datalek wordt. Het zijn ook de controles die de meeste organisaties niet hebben. Nu investeren in deze controles is goedkoper dan na de volgende onthulling.

Ten derde, eis manipulatiedetecterende audittrails voor elke datainteractie. GTIG ontdekte dit geval omdat ze inzicht hadden in de geplande operatie. De meeste organisaties beschikken niet over GTIG-niveau Threat Intelligence. 33% van de organisaties mist nog steeds audittrails van bewijskwaliteit die regulatoire of juridische onderzoeken kunnen ondersteunen—dat is het gat waardoor een gepatcht datalek niet te verdedigen is.

Ten vierde, behandel externe AI-tools als gereguleerde dataverwerkers. De LiteLLM-compromittering laat zien wat er gebeurt als een AI-gatewaybibliotheek als infrastructuur wordt gezien in plaats van als bevoorrechte datastroom. Inventariseer elke AI-integratie, beperk elke API-token tot minimale privileges en roteer inloggegevens volgens een schema dat past bij het nieuwe dreigingstempo.

Ten vijfde, bereid je voor op een ernstigere volgende onthulling. Neem de aanname van door AI gepolijste exploits nu al op in je threat modeling, terwijl het GTIG-geval nog vers is, in plaats van te wachten op een complexer incident in je sector.

Meer weten over het beschermen van gevoelige data tegen AI-aanvallen? Plan vandaag nog een aangepaste demo.

Veelgestelde vragen

Begin met de GTIG-onthulling als een gedocumenteerd incident, geen hypothetisch scenario. Richt het budget op blast-radiuscontroles—ABAC-handhaving, manipulatiedetecterende audit logs, kill switches—in plaats van patchsnelheid. De Kiteworks 2026 Forecast wees uit dat 54% van de raden AI-governance niet in hun top vijf onderwerpen heeft, terwijl betrokken raden een veel hogere AI-controlevolwassenheid laten zien op elk gemeten vlak.

Ja. Door AI ondersteunde dreigingsactoren verkorten de tijd tussen openbaarmaking en bewapening, waardoor zelfs snelle patching minder waardevol wordt. De verdedigbare positie is governance op de data layer: elke PHI-interactie geauthenticeerd, ABAC-afgedwongen en gelogd. HIPAA Security Rule-audits onderzoeken direct de gaten in audittrails—33% van de organisaties mist audittrails van bewijskwaliteit, en dat is de HIPAA-bevinding.

CMMC Level 2 AC-, AU- en IA-families vereisen afgedwongen autorisatie en onveranderlijke audittrails—dezelfde controles die de blast radius beperken als AI-ondersteunde exploits toeslaan. Slechts 46% van de DIB-organisaties acht zich voorbereid volgens het Kiteworks CMMC Preparedness Report. Governance op de data layer met ABAC-handhaving voldoet aan alle drie de controlefamilies tegelijk en levert het bewijs dat beoordelaars eisen.

Inventariseer elke AI-integratie met hardnekkige inloggegevens of tokens, beperk elk tot minimale privileges en pas manipulatiedetecterende logging toe op elke AI-naar-data-interactie. De Kiteworks 2026 Forecast documenteerde een gat van 15 tot 20 punten tussen AI-governancevolwassenheid en AI-containmentvolwassenheid—het containment-gat is waar supply chain-compromitteringen schade aanrichten zodra ze binnen zijn.

De high-risk-bepalingen van de EU AI-wet die vanaf augustus 2026 afdwingbaar zijn, vereisen gedetailleerde, onveranderlijke logs voor high-risk AI-beslissingen en datastromen. Een gedocumenteerd AI-ondersteund exploitatiegeval verhoogt de lat voor wat “passende technische en organisatorische maatregelen” betekent onder standaarden vergelijkbaar met Artikel 32. Organisaties buiten de scope van de EU AI-wet lopen 22 tot 33 punten achter op elk belangrijk AI-controlepunt volgens de Kiteworks 2026 Forecast—dat is het gat dat toezichthouders als eerste zullen meten.

Aanvullende bronnen

  • Blog Post Hoe klinische proefdata te beschermen in internationaal onderzoek
  • Blog Post De CLOUD Act en Britse gegevensbescherming: waarom rechtsbevoegdheid ertoe doet
  • Blog Post Zero Trust Data Protection: implementatiestrategieën voor betere beveiliging
  • Blog Post Data Protection by Design: hoe je GDPR-controles integreert in je MFT-programma
  • Blog Post Hoe je datalekken voorkomt met beveiligde bestandsoverdracht over grenzen heen

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks