Исследователи из Университета Торонто разработали прототип компьютерного червя на базе агента с искусственным интеллектом, который успешно самореплицировался в различных системах внутри смоделированной компьютерной сети. Червь использовал бесплатную большую языковую модель (LLM), работающую на локальном оборудовании, и эксплуатировал комбинацию старых и новых уязвимостей, а также некорректных настроек, которые по-прежнему слишком распространены в корпоративных средах.
В то время как директора по информационной безопасности (CISO) и представители индустрии безопасности обеспокоены способностью передовых моделей, таких как Mythos от Anthropic, находить уязвимости нулевого дня в критически важном программном обеспечении, этот эксперимент служит напоминанием о том, что злоумышленникам не нужен передовой ИИ, чтобы нанести ущерб типичным корпоративным сетям. Фактически, использование платных моделей, доступных только через API, стало бы точкой отказа для такой автономной вредоносной системы, как компьютерный червь, поскольку запросы, созданные для обхода защитных механизмов, были бы быстро обнаружены и заблокированы лабораториями ИИ.
«Мы обнаружили, что можно создать компьютерного червя, управляемого ИИ, используя только небольшие, бесплатные модели ИИ, который может автономно определять уникальные слабые места каждой машины (включая недавно заявленные отраслью уязвимости и некорректные настройки, такие как повторно используемые пароли) и использовать их, захватывая вычислительную мощность для контроля над обычными устройствами, такими как ноутбуки, камеры и все остальное в сети, а затем копируя себя на серверы и в сети для кражи данных или запуска новых атак», — заявила исследовательская группа из лаборатории CleverHans при Университете Торонто в своем отчете. «Мы сделали это без использования новейших, самых мощных моделей ИИ. Единой защиты от этой новой угрозы не существует».
Создание агентного каркаса для наступательных кибератак
В то время как передовые модели, такие как Claude Opus и GPT 5.5, предлагают контекстные окна в миллион токенов и могут рассуждать в течение десятков минут и даже часов для решения одной задачи, этот подход не работает для локально размещенных LLM, работающих на одном графическом процессоре. Их контекстные окна намного меньше, и они, как правило, демонстрируют более слабые способности следовать инструкциям для агентных задач.
Разработчики программного обеспечения, сталкивавшиеся с этими проблемами давно, решили их, создавая настраиваемые каркасы (harnesses) и агентные фреймворки, которые разбивают сложные проекты по разработке ПО на этапы и шаги, выполняемые несколькими субагентами параллельно, которые обмениваются результатами через некоторую систему памяти, варьирующуюся от файла Markdown до базы данных.
Исследователи из CleverHans Lab применили эти уроки для создания собственного каркаса в целях наступательной безопасности, чтобы компенсировать ограничения локальных LLM, включая этапы и узлы, специфичные для задач, которые выполняют вызовы LLM со специализированными запросами.
«Это ядро поддерживается дополнительными системами: иерархической памятью, которая сохраняет результаты открытий между независимыми вызовами LLM, инструментами и их обработчиками, которые инкапсулируют общие последовательности действий и интерпретируют результаты выполнения, системой навыков, которая по требованию предоставляет контекстно-зависимое руководство по пентесту, и многоагентной координацией, которая обменивается разведданными между экземплярами», — объяснили они в своей статье.
Агентные каркасы, созданные для исследований в области безопасности и тестирования на проникновение, не являются новой концепцией и существуют уже некоторое время. Примеры с открытым исходным кодом включают RAPTOR — фреймворк навыков и агентов для Claude Code, предназначенный для обнаружения уязвимостей и написания эксплойтов, — и SecOpsAgentKit.
«Предыдущие модели могут работать на уровне, близком к Mythos, на его уровне или даже превосходить его в зависимости от возможностей, используя каркасы», — сказал CSO Гади Эврон (Gadi Evron), генеральный директор фирмы по безопасности ИИ Knostic и один из создателей RAPTOR. «Когда выходят новые модели, они могут достичь в одном запросе того, на что раньше требовался каркас, после чего создаются новые каркасы, и так далее».
Моделирование уязвимой корпоративной сети
Исследователи из CleverHans Lab создали сеть, состоящую из виртуальных машин с различными операционными системами, включая Ubuntu (16.04-24.04), Debian (9-12), Alpine Linux, Rocky Linux 9, CentOS Stream 9 и Windows Server (2008 R2, 2019, 2022). Эти ВМ имитировали серверы, на которых работали различные веб-сервисы, а также устройства Интернета вещей (IoT) и промышленные системы управления, которые можно встретить в типичных корпоративных сетях.
Исследователи оставили на смоделированных системах неисправленными ассортимент старых и новых (несколько дней от роду) уязвимостей, а также распространенные небезопасные конфигурации и общие недостатки, такие как отсутствие контроля доступа или SQL-инъекции. Цель состояла в том, чтобы проверить способность их червя на базе ИИ обнаруживать системы, находить открытые порты, выявлять подверженные атакам сервисы, находить уязвимости, эксплуатировать их, а затем копировать себя на скомпрометированную систему.
Системы имели как удаленно эксплуатируемые недостатки, которые обеспечивали первоначальный доступ, так и локальные недостатки и уязвимости, которые можно было использовать для повышения привилегий до уровня root и полного захвата машины.
«Эти два класса оценивают взаимодополняющие возможности: CVE проверяют способность агента определять версии программного обеспечения и динамически адаптировать или компилировать необработанный код эксплойта для соответствия целевой среде, в то время как CWE проверяют его способность к открытому, специфичному для цели рассуждению, когда нет готового эксплойта», — заявили исследователи. «Чтобы гарантировать, что сеть отражает уязвимости, встречающиеся в реальном мире, все цели взяты из трех авторитетных таксономий угроз [каталог CISA Known Exploited Vulnerabilities, OWASP Top 10: 2025 и фреймворк MITRE ATT&CK], охватывающих, соответственно, уязвимости, активно эксплуатируемые в дикой природе, распространенные веб-уязвимости и уязвимости программного обеспечения, а также методы злоумышленников, используемые после первоначального доступа к сети».
Кроме того, некоторые виртуальные машины были оснащены графическими процессорами, которые позволили бы червю реплицировать себя, а затем захватить вычислительные ресурсы для локального запуска модели вместо того, чтобы полагаться на LLM, размещенную исследователями на внешней системе.
В течение семи дней и пяти поколений саморепликации червь сумел распространиться на 27 из 33 систем в смоделированной среде. Червь правильно определил уязвимости в 82% попыток и добился успешной эксплуатации в 44% из них. Несмотря на то, что уровень эксплуатации был довольно низким, параллельная реализация, подобная роевой, где каждая скомпрометированная система становилась новым экземпляром вредоносного агента, компенсировала это и в конечном итоге привела к общему высокому уровню успеха.
Это в значительной степени совпадает с тем, что исследователи безопасности из Forescout обнаружили в исследовании, проведенном ранее в этом году, которое изучало, насколько хорошо модели научились обнаруживать и эксплуатировать уязвимости. Хотя исследование показало, что новое поколение моделей с открытым весом значительно улучшило свои возможности как по поиску, так и по эксплуатации уязвимостей, меньшие варианты этих моделей, квантованные для локального запуска на одном графическом процессоре, по-прежнему демонстрировали низкую производительность в таких задачах.
Однако исследователи отметили в то время, что, используя специализированные агентные фреймворки ИИ, такие как RAPTOR, им удалось обнаружить новые уязвимости нулевого дня в OpenDNS.
«Многие модели с открытым исходным кодом или общедоступные коммерческие модели уже достаточно хороши, чтобы при использовании с правильным каркасом они могли находить уязвимости, эксплуатировать их, создавать вредоносный код и так далее», — сказал CSO Даниэль душ Сантуш (Daniel dos Santos), вице-президент по исследованиям в Forescout. «Новая работа Университета Торонто показывает, что аналогичные модели также могут использоваться для создания динамически адаптирующихся червей».
Киберпреступники также осведомлены об этих достижениях в возможностях моделей, судя по обсуждениям, которые команда душ Сантуша наблюдала на подпольных форумах, причем все больше злоумышленников фокусируются на моделях с открытым исходным кодом и коммерческих моделях, а не на «подпольных», доработанных для киберпреступности.
У организаций заканчивается время
Хотя атаки с использованием уязвимостей нулевого дня привлекают много внимания, и ИИ сделал такие недостатки доступными для большего числа злоумышленников, чем когда-либо, реальность такова, что в Интернете и внутри сетей нет недостатка в системах, которые либо некорректно настроены, либо уязвимы для известных недостатков, для которых существуют исправления или смягчающие меры.
Эксперимент Университета Торонто показывает, что защитники должны быть в состоянии реагировать с такой же скоростью, особенно учитывая, что их прототип демонстрирует, что информация о новых уязвимостях может быть интегрирована в базу знаний червя в течение нескольких часов после публичного раскрытия. Способность червя захватывать графические процессоры для запуска узлов еще больше снижает инвестиции, которые злоумышленникам необходимо сделать для проведения таких атак с использованием ИИ.
«У организаций бесконечный технологический долг и долг в области безопасности, а с ростом числа атак с использованием ИИ у нас больше нет времени», — сказал Эврон. «Однако изменения связаны со временем, особенно в корпоративной среде. Ключ в том, чтобы начать готовиться прямо сейчас. Вскоре мы перестанем измерять время до эксплуатации и вместо этого будем вынуждены строить новые метрики, например, для способности справляться с регулярно возникающими, одновременными утечками данных при минимизации воздействия на повседневные операции».
Исследователи Университета Торонто призывают предприятия внедрять тестирование на проникновение и фаззинг с помощью ИИ для обнаружения уязвимостей в собственной инфраструктуре, а также наращивать возможности для более быстрого развертывания исправлений или смягчающих мер, что в настоящее время является значительным пробелом.
Однако они признают некоторые ограничения своего прототипа, например, тот факт, что он был «шумным», оставляя множество поведенческих сигнатур, которые могли быть обнаружены системами мониторинга конечных точек и сети. Кроме того, в их смоделированной сети отсутствовала базовая сегментация сети, которую можно было бы дополнительно улучшить с помощью архитектуры нулевого доверия для предотвращения бокового перемещения и минимизации зависимостей программного обеспечения и поверхности атаки на каждой хост-системе.
«Хотя уязвимости, эксплойты и оркестровка атак теперь автономны, более глубокий смысл для защиты заключается в том, что многие наши предположения о построении программ безопасности теперь поставлены под сомнение», — сказал Эврон. «Пока мы не достигнем зрелого защитного ИИ, мы должны предоставить нашим сотрудникам кодирующих агентов, чтобы поднять их до скорости машины, а затем, в свою очередь, защищать этих агентов».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
