Специалисты кибербезопасности из ESET идентифицировали то, что может быть первым известным образцом вредоносного ПО с использованием искусственного интеллекта для генерации вредоносного кода.
Технические особенности PromptLock
Новый вредонос, названный PromptLock, использует открытую модель OpenAI gpt-oss:20b через API Ollama для генерации Lua-скриптов, которые затем выполняются на лету. По словам исследователей Антона Черепанова и Петера Стричека, вирус написан на Golang и использует алгоритм шифрования SPECK с ключом 128 бит, разработанный АНБ США.
Ключевые характеристики PromptLock:
- Кроссплатформенность: работает на Windows, Linux и macOS
- Динамическая генерация скриптов через языковую модель
- Перечисление файловой системы и инспекция целевых файлов
- Экфильтрация данных и их шифрование
Использование локально развернутой модели через Ollama API — интересный технический ход, который позволяет обойти детектирование облачных запросов к OpenAI. Однако текущая реализация выглядит скорее как концепт, чем полнофункциональная угроза.
Текущее состояние угрозы
Исследователи обнаружили варианты для Windows и Linux в VirusTotal, но отмечают, что функциональность уничтожения данных еще не реализована. Любопытная деталь — Bitcoin-адрес для выкупа в промптах принадлежит Сатоши Накамото, что скорее указывает на тестовый характер образца.
Черепанов и Стричек подчеркивают: «Хотя множественные индикаторы предполагают, что образец является концептом или незавершенным проектом, мы считаем своей ответственностью информировать сообщество кибербезопасности о таких разработках».
Тренды AI в киберпреступности
Исследование Acronis показало, что использование AI группами вымогателей уже привело к росту атак социальной инженерии и BEC с 20% до 25,6% в первые пять месяцев 2025 года по сравнению с аналогичным периодом 2024 года.
До настоящего времени AI в основном использовался для повышения эффективности атак, а не для создания принципиально новых возможностей. Однако появление PromptLock сигнализирует о начале новой эры, где языковые модели могут использоваться для генерации адаптивного вредоносного кода.
По материалам ITPro.
Оставить комментарий