VoidLink是一个新发现的Linux恶意软件,专门针对受害者的云环境,配备37个恶意插件。据发现这一植入程序的研究团队称,VoidLink"几乎完全由人工智能生成",很可能只由一个人开发。
上周,Check Point Research发布了一份关于这个从未见过的恶意软件样本的报告,该样本最初于12月被发现。报告指出,这似乎是一个正在开发中的框架,而非完全投产就绪的工具,源自中国关联的开发环境。
该恶意软件设计用于在基于Linux的云环境中运行,能够自动扫描和检测AWS、Google Cloud Platform、Microsoft Azure、阿里巴巴和腾讯等云平台。
此外,它还配备了自定义加载器、植入程序、rootkit和众多模块,为攻击者提供了全方位的隐蔽性、操作安全能力,使其"比典型的Linux恶意软件先进得多",Check Point表示。
在周二发布的一项新分析中,该安全公司表示,尽管最初看起来是大型、资源丰富的开发团队的产品,但VoidLink很可能并非如此。相反,Check Point Research认为VoidLink几乎完全由AI编写,很可能在单个个体的指导下完成,开发痕迹显示在不到一周的时间内就达到了第一个功能性植入程序。
威胁猎手写道:"VoidLink表明,人们期待已久的复杂AI生成恶意软件时代很可能已经开始。"
研究团队得出这一结论,是因为注意到VoidLink内部文档中泄露的30周计划开发时间线与观察到的时间线不匹配,后者显示了一个更快的过程。
报告指出:"更深入的调查显示了明确的痕迹,表明开发计划本身是由AI模型生成和协调的,很可能被用作构建、执行和测试框架的蓝图。"时间戳痕迹显示VoidLink从概念发展为功能性恶意软件用了不到一周时间。
开发者于11月下旬开始开发VoidLink,使用了嵌入在集成开发环境Trae中的AI助手Trae Solo来生成中文指令文档。该个体并未直接要求智能体构建恶意软件。实际上,他们指示模型不要实施代码或提供关于恶意软件构建技术的技术细节,这可能是试图操纵AI绕过其安全护栏。
此外,代码库映射文档表明,该模型被输入了最小的代码库作为恶意软件的起点,而这个起点被完全重写,端到端。
Check Point的研究人员还发现了一份用中文编写的工作计划,涉及三个开发团队:核心团队(使用Zig编程语言)、武器库团队(C语言)和后端团队(Go语言)。
安全侦探表示,这份文档"具有大语言模型的所有特征",包括冲刺计划、功能分解和编码指南。
虽然这个练习被呈现给模型作为一个30周的工程工作,但时间戳文档显示,开发88000行代码只用了6天时间,随后在12月4日被上传到VirusTotal,这时Check Point的研究开始了。
据恶意软件猎手团队称,这表明AI在有能力的开发者使用下,可以更快、更大规模地生产复杂的攻击性安全工具,而无需通常只有经验丰富的威胁组织才具备的资金和其他资源。
这并非完全自主的AI驱动攻击。但它确实显示了智能体可以帮助人类为恶意目的生产非常有能力、隐蔽的工具。
Q&A
Q1:VoidLink恶意软件是如何生成的?
A:VoidLink几乎完全由人工智能生成,很可能只由一个人在智能体的协助下开发。开发者使用了嵌入在集成开发环境Trae中的AI助手Trae Solo,从概念到功能性恶意软件仅用了不到一周时间。
Q2:VoidLink恶意软件有什么特殊能力?
A:VoidLink专门针对Linux云环境,能自动扫描检测AWS、Google Cloud、微软Azure、阿里巴巴和腾讯等云平台。它配备37个恶意插件、自定义加载器、植入程序、rootkit和众多模块,比典型Linux恶意软件先进得多。
Q3:AI生成恶意软件意味着什么?
A:这表明复杂AI生成恶意软件的时代可能已经开始。AI在有能力开发者指导下,可以更快、更大规模地生产复杂攻击性安全工具,而无需大型威胁组织才具备的资金和资源支持。
热门跟贴