A nemrég nyilvánosságra került, mesterséges intelligenciával támogatott támadási kampány során a támadó egy CyberStrikeAI nevű, nyílt forráskódú, AI-alapú biztonsági tesztelő platformot használt Fortinet FortiGate eszközök elleni támadások végrehajtására.
Az esetről a Team Cymru kutatói számoltak be, akik egy IP-cím elemzése során figyeltek fel a tevékenységre. Ezt az IP-címet egy feltételezhetően Oroszországhoz köthető támadó használhatta arra, hogy automatizált módon, tömegesen keressen sebezhető FortiGate berendezéseket az interneten. A CyberStrikeAI egy nyílt forráskódú, mesterséges intelligenciára épülő offenzív biztonsági tesztelő eszköz (offensive security tool), amelyet egy kínai fejlesztő készített. Will Thomas (BushidoToken) biztonsági kutató szerint a fejlesztő feltehetően állami kötődésű. A támadási kampány részletei először akkor kerültek napvilágra, amikor az Amazon Threat Intelligence arról számolt be, hogy egy ismeretlen támadó generatív AI-szolgáltatásokat (például az Anthropic Claude és a DeepSeek rendszereit) használva szisztematikusan támadta a FortiGate eszközöket. A támadások során világszerte több mint 600 berendezést kompromittáltak, összesen 55 országban. A GitHubon található leírás szerint a CyberStrikeAI Go programozási nyelven készült, és több mint száz különböző biztonsági eszközt integrál. A platform képes sebezhetőségek felderítésére, támadási láncok elemzésére, tudásbázisok lekérdezésére, valamint az eredmények vizualizálására. A projektet egy Ed1s0nZ nevű kínai fejlesztő tartja karban.
A Team Cymru megfigyelései alapján 2026. január 20. és február 26. között legalább 21 különböző IP-címről futtatták a CyberStrikeAI eszközt. A hozzá kapcsolódó szerverek elsősorban Kínában, Szingapúrban és Hongkongban találhatók, de további infrastruktúrát az Egyesült Államokban, Japánban és Svájcban is azonosítottak. Az Ed1s0nZ GitHub-fiókja több olyan projektet is tartalmaz, amelyek az exploitfejlesztés és az AI-rendszerek korlátozásainak megkerülése iránti érdeklődését mutatják. A kutatók úgy gondolják, hogy a fejlesztő GitHub-aktivitása alapján kapcsolatban állhat olyan szervezetekkel, amelyek kínai államhoz köthető kiberműveleteket támogatnak.
Ezek alapján feltételezhető, hogy a szervezet nemcsak kiberbiztonsági szolgáltatóként működik, hanem állami szervek számára is végezhet műveleteket, például a kínai hadsereg vagy az állambiztonsági szervek számára. A kutatók azt is megfigyelték, hogy Ed1s0nZ eltávolította GitHub-profiljából azokat az utalásokat, amelyek a kínai állami felügyelet alatt álló CNNVD sebezhetőségi adatbázishoz kötötték. Bár a fejlesztő szerint projektjei kutatási célokat szolgálnak, a szakértők úgy vélik, hogy a módosítás célja az állami kapcsolatok elfedése lehetett. Eközben a CyberStrikeAI használata várhatóan tovább terjed, ami az AI által támogatott támadó eszközök gyors növekedésére utal a kiberfenyegetések világában.