Forskere har vist at dataormer drives av: kunstig intelligens (AI) kan spre seg autonomt på tvers av nettverk ved å identifisere og utnytte sårbarheter i en rekke enheter, noe som vekker nye bekymringer om hvordan denne teknologien kan endre fremtiden til nettangrep.
at Proof of concept malwareUtviklet av forskere fra University of Toronto og cybersikkerhetsselskapet CleverHans, kombinerer den en lokalt kjørende storspråkmodell (LLM) med en autonom programvareagent som kan skanne et nettverk, evaluere potensielle angrepsvektorer og bestemme hvordan man kan kompromittere nye mål uten menneskelig innblanding. Forskerne sa at studien viser hvordan AI kan tillate skadelig programvare å tilpasse seg ukjente miljøer, i stedet for å stole på et enkelt forhåndsprogrammert angrep.
I et eksperiment beskrevet i en ny studie lastet opp 2. juni arXiv På en preprint-server ble ormen testet mot et simulert bedriftsnettverk som inneholder 33 verter, inkludert Linux-servere, Windows-arbeidsstasjonsdatamaskiner og andre Internett-tilkoblede (IoT) enheter. Forskere fant at systemet identifiserte sårbarheter, kompromitterte nye systemer og replikerte seg selv i omtrent 62 % av nettverket i løpet av en uke.
«Nøkkelfunnet er at disse typer systemer kan gjøre mer enn bare å kjøre faste utnyttelser: de kan skanne målmiljøet, utlede mulige sårbarheter, bruke verktøy for å starte et angrep og deretter replikere seg selv etter et vellykket kompromiss.» Michael AgeEn adjunkt i informasjonsteknologi ved Trinity Washington University i Washington, D.C., var ikke involvert i studien, men fortalte WordsSideKick.com.
Hvordan fungerer AI-ormer?
Oppsettet var relativt enkelt. Forskerne tok en åpen LLM (treningsdata er offentlig tilgjengelig) som kjører på lokal maskinvare og koblet den til et programvarerammeverk som kan skanne nettverket, samle informasjon om målsystemer og utføre angrep. AIs rolle var å tolke funnene og bestemme hvor de skulle gå videre.
«Den AI-baserte delen av angrepet er først og fremst resonnement og beslutningstaking,» sa Agee. «LLM handler ikke om magisk hacking av systemer. Det brukes til å utlede hva informasjon betyr, foreslå mulige angrepsstrategier, bestemme hvilket verktøy eller oppgave du skal prøve neste gang, og justere tilnærmingen din når problemer oppstår.»
Det er ingen intelligens i å oppdage nye sårbarheter. Snarere eksisterer etterretning for å bestemme hvor raskt en angriper kan velge og sekvensere et angrep mot tidligere identifiserte sårbarheter.
Bob Hutchins, adjunkt, Lipscomb University
Med andre ord, ormer finner ikke opp nye måter å komme inn i systemet på. I stedet tar den informasjon om maskinen, sammenligner den med kjente sårbarheter og svakheter, og bestemmer hvilken metode som er mest sannsynlig å lykkes.
Få verdens mest spennende funn levert rett i innboksen din.
Bob HutchinsInnovasjon ligger i et systems evne til å tilpasse seg, sa han, som underviser i AI-strategikurs ved Lipscomb University i Nashville, Tennessee.
«Tradisjonelle ormer følger en skriptsekvens. Når en sårbarhet er identifisert, replikerer ormen seg,» sa Hutchins til WordsSideKick.com. «Derimot har forskere vist at lett nedlastbare AI-modeller kan brukes som en beslutningskomponent for ormer, som analyserer hver enhet den møter for å finne den mest effektive strategien for å kompromittere et bestemt system.»
«Intelligens eksisterer ikke for å oppdage nye sårbarheter. Snarere eksisterer intelligens for å bestemme hvor raskt en angriper kan velge og sekvensere et angrep mot tidligere identifiserte sårbarheter,» la han til.
Hva gjør denne AI-ormen forskjellig fra tradisjonell skadelig programvare?
Forskerne designet også ormen til å kjøre på enheter med forskjellige nivåer av datakraft. Mer kapable maskiner utstyrt med grafikkbehandlingsenheter (GPUer) kan gi slutningstjenester til lette agenter som kjører på mindre kraftige enheter andre steder i nettverket.
«Det som gjorde den spesielt farlig var den smarte lagdelte designen.» Tom Bazdaren professor i AI og cybersikkerhet ved Open Institute of Technology fortalte WordsSideKick.com. «Kompromitterte systemer utstyrt med GPUer ga slutningsevner til lette agenter som kjører på IoT-enheter med lav effekt som ikke kan kjøre AI-modeller lokalt. Kameraer blir hendelsesnoder i stedet for bare en annen dør i angrepsnettverket.»
Studien, som ennå ikke har blitt fagfellevurdert, ble utgitt ettersom myndigheter, sikkerhetseksperter og AI-selskaper fortsetter å diskutere om generativ AI kan gjøre det lettere å utføre sofistikerte nettangrep. En av grunnene til at studien vakte oppmerksomhet er at forskerne ikke stolte på banebrytende modeller fra store AI-selskaper, som OpenAIs ChatGPT eller Anthropics Claude. I stedet brukte den en mye mindre, åpen modell som kunne lastes ned og kjøres offline på en vanlig datamaskin.
Forskerne brukte ikke ledende AI-modeller som ChatGPT og Claude.
«Forskerne brukte en lett, åpen modell som var relativt enkel å laste ned, fjerne rekkverkskomponenter og bruke under demonstrasjonen,» sa Hutchins til WordsSideKick.com. «Ved å bruke denne typen modeller har forskere utfordret den langvarige antagelsen om at bare avanserte/edge-modeller utviser risiko forbundet med misbruk.»
Vazdar fortalte WordsSideKick.com at dette arbeidet fremhever hvordan angripere i økende grad kan automatisere oppgaver som for tiden krever dyktige arbeidere. «Angriperens marginale kostnad faller i hovedsak til null. Og fordi den ikke er avhengig av en enkelt klasse av sårbarheter, kan den ikke lappes. Det er en grunn: Hvis du lapper ett hull, finner de et annet.»
Kan en angriper bruke denne AI-ormen i den virkelige verden?
Men ikke alle eksperter er enige i den vurderingen. Forskerne forklarte at systemet kunne målrette mot et bredt spekter av enheter, men noen advarte om at demonstrasjonen fant sted i et svært kontrollert miljø designet for å demonstrere konseptet.
«I beste fall er dette et laboratoriebasert proof of concept i et målrikt testmiljø,» sa Agee. Testnettverket inneholdt mange bevisst sårbare systemer og manglet aktivt endepunktforsvar. Han la til, «Dette papiret viser at denne tilnærmingen er mulig, men at dette angrepet ikke trenger å fungere pålitelig på vanlige eller minimalt forsvarte bedriftsnettverk.»
Enhver enhet koblet til internett som kjører en sårbar versjon av programvaren kan teoretisk utnyttes gjennom lignende mekanismer. Dette har vært en truisme i skadelig programvare i flere tiår.
Bob Hutchins, adjunkt, Lipscomb University
Ormen produserte også aktiviteter som sikkerhetsteam potensielt kunne oppdage, inkludert nettverksskanning, gjentatte utnyttelsesforsøk og privilegieeskaleringsadferd, bemerket han.
«Selv grunnleggende overvåkingsinnstillinger kan vise atferd,» sa Agee.
Hutchins advarte også mot å overdrive resultatene av denne studien. «Utsagnet om at ‘nesten enhver enhet potensielt kan bli målrettet’ er teknisk nøyaktig, men følelsesmessig villedende,» sa han. «Enhver enhet som er koblet til Internett som kjører en sårbar versjon av programvare, er teoretisk mottakelig for utnyttelse gjennom lignende mekanismer. Dette har vært en truisme av skadelig programvare i flere tiår.»
Hutchins la til at organisasjoner kan forsvare seg ved å bruke mange av de samme tiltakene som anbefales mot tradisjonelle nettangrep, inkludert umiddelbar patching, sterke passord og multifaktorautentisering (ved å bruke flere former for identitet, for eksempel passord sendt via tekstmelding i tillegg til passord, for å logge inn på systemer).
Likevel er eksperter generelt enige om at forskningen kan føre til endringer i måten skadevare fungerer på i fremtiden. Fremtidens ondsinnede programvare kan være i stand til å ta mange taktiske beslutninger på egen hånd i stedet for å stole på faste instruksjoner skrevet av menneskelige angripere.
«Dette angrepet er viktig fordi det viser at LLM-baserte agenter kan utlede forskjellige mål og tilpasse tilnærmingen,» sa Agee.
For Hutchins representerer denne forskningen til syvende og sist akkurat den type arbeid som akademiske forskere burde gjøre. «Forfatterne av studien gjør akkurat det akademia burde gjøre: å studere legitime trusler i et kontrollert miljø før ondsinnede aktører kan bygge trusselen utenfor det kontrollerte miljøet,» sa han.
Det gjenstår å se om angripere vil ta i bruk lignende teknikker. Det forskerne har vist er at relativt små AI-modeller allerede kan spille en meningsfull rolle i planlegging og regi av cyberangrep.
Guan, J., Blanchard, T., Foerster, H., Jia, H., Huang, G., & Papernot, N. (2026, 2. juni). AI-agenten aktiverer en adaptiv dataorm.. arXiv.org.