구글을 AI로 해킹해서 7억원 벌기 | GeekNews

구글을 AI로 해킹해서 7억원 벌기 | GeekNews

AI를 시켜 Google의 API를 끊임없이 자동으로 찔러보게 한 결과, 3개월 만에 50만 달러의 버그 바운티 수익을 올린 보안 연구 사례

60,000개 이상의 Android 앱에서 긁어모은 API 키와 Google의 API 명세서(discovery document) 를 결합해, 외부에 잘 알려지지 않은 것까지 1,500개 이상의 API를 테스트 대상으로 확보
Claude 기반 AI에 API 테스트 도구를 연결해 사람처럼 요청을 보내고, 권한 확인이 빠진 접근 제어 취약점을 자동으로 찾아내도록 구성
Google Voice 계정 탈취, YouTube 비공개 영상 유출, Widevine DRM 키 노출, Nest 기기 소유자 신원 추적 등 심각한 취약점 다수 발견
대부분은 정교한 공격이 아니라 권한 검사 누락, 인증 없는 API, 실제 데이터를 그대로 노출한 테스트 환경 같은 반복되는 기본 실수에서 비롯

60,000개 이상의 Android 앱에서 긁어모은 API 키와 Google의 API 명세서(discovery document) 를 결합해, 외부에 잘 알려지지 않은 것까지 1,500개 이상의 API를 테스트 대상으로 확보
Claude 기반 AI에 API 테스트 도구를 연결해 사람처럼 요청을 보내고, 권한 확인이 빠진 접근 제어 취약점을 자동으로 찾아내도록 구성
Google Voice 계정 탈취, YouTube 비공개 영상 유출, Widevine DRM 키 노출, Nest 기기 소유자 신원 추적 등 심각한 취약점 다수 발견
대부분은 정교한 공격이 아니라 권한 검사 누락, 인증 없는 API, 실제 데이터를 그대로 노출한 테스트 환경 같은 반복되는 기본 실수에서 비롯