Оглавление

Исследователи Google раскрыли новый тип вредоносного программного обеспечения, который использует искусственный интеллект для постоянного изменения собственного кода, создавая беспрецедентные проблемы для систем кибербезопасности, пишет The Hacker News.

Технология самообновляющегося вредоносного ПО

Группа анализа угроз Google (TAG) обнаружила сложное семейство вредоносных программ под названием PROMPTFLUX, которое использует собственный ИИ компании Gemini для переписывания своего кода каждый час. Это делает его исключительно трудным для обнаружения и анализа традиционными методами.

Вредоносная программа представляет собой значительную эволюцию киберугроз, использующую искусственный интеллект для постоянной мутации своей кодовой базы и уклонения от традиционных систем обнаружения на основе сигнатур.

Как работает PROMPTFLUX

PROMPTFLUX работает путем прямой интеграции с API Google Gemini AI, используя тщательно составленные промпты для генерации новых вариаций своего вредоносного кода. Программа сохраняет основную инфраструктуру командования и управления, одновременно динамически переписывая компоненты полезной нагрузки.

Ключевые характеристики вредоносного ПО включают:

  • Ежечасную регенерацию кода: Программа связывается со своим сервером C2 каждый час для получения новых промптов для регенерации кода
  • Полиморфное поведение: Каждая итерация производит функционально эквивалентный, но синтаксически различный код
  • Интеграцию с ИИ: Использует легитимные вызовы API Google Gemini, чтобы избежать подозрений
  • Скрытные механизмы: Реализует множество анти-аналитических техник для затруднения обратной разработки

Google обнаруживает вредоносное ПО, которое использует собственный ИИ компании против её же пользователей. Это классический сценарий «джинна из бутылки» — технологии, созданные для помощи, превращаются в оружие. Особенно цинично выглядит использование легитимных API-вызовов, что делает обнаружение ещё сложнее. Ожидаем волну подобных атак, пока индустрия не разработает адекватные контрмеры.

Проблемы обнаружения и защиты

Использование генерации кода на основе ИИ создает беспрецедентные проблемы для исследователей безопасности и производителей антивирусного ПО. Традиционные методы обнаружения, основанные на статических сигнатурах, в значительной степени неэффективны против PROMPTFLUX.

Командам безопасности теперь приходится больше полагаться на поведенческий анализ и обнаружение аномалий, а не на подходы, основанные на сигнатурах. Способность вредоносного ПО постоянно эволюционировать делает его особенно опасным для организаций с ограниченными возможностями мониторинга безопасности.

Рекомендации по защите

Google предоставил несколько рекомендаций для организаций по защите от PROMPTFLUX и подобных угроз на основе ИИ:

  • Внедрение надежного мониторинга API для обнаружения необычных паттернов использования Gemini AI
  • Развертывание инструментов поведенческого анализа, которые могут идентифицировать вредоносную активность независимо от сигнатур кода
  • Усиление сегментации сети для ограничения латерального перемещения
  • Регулярное обновление политик безопасности для решения возникающих угроз на основе ИИ

Реакция индустрии

Обнаружение PROMPTFLUX вызвало дискуссии по всей индустрии кибербезопасности о необходимости новых защитных подходов. Несколько поставщиков средств безопасности уже разрабатывают системы обнаружения на основе ИИ, специально предназначенные для противодействия вредоносному ПО, созданному с помощью искусственного интеллекта.

Исследователи подчеркивают, что это представляет собой только начало киберугроз на основе ИИ, и организации должны готовиться к все более сложным атакам, которые используют искусственный интеллект для уклонения и персистентности.