記住VoidLink嗎？這個(gè)針對(duì)云的Linux惡意軟件是智能體寫(xiě)的

VoidLink是一個(gè)新發(fā)現(xiàn)的Linux惡意軟件，專(zhuān)門(mén)針對(duì)受害者的云環(huán)境，配備37個(gè)惡意插件。據(jù)發(fā)現(xiàn)這一植入程序的研究團(tuán)隊(duì)稱(chēng)，VoidLink"幾乎完全由人工智能生成"，很可能只由一個(gè)人開(kāi)發(fā)。

上周，Check Point Research發(fā)布了一份關(guān)于這個(gè)從未見(jiàn)過(guò)的惡意軟件樣本的報(bào)告，該樣本最初于12月被發(fā)現(xiàn)。報(bào)告指出，這似乎是一個(gè)正在開(kāi)發(fā)中的框架，而非完全投產(chǎn)就緒的工具，源自中國(guó)關(guān)聯(lián)的開(kāi)發(fā)環(huán)境。

該惡意軟件設(shè)計(jì)用于在基于Linux的云環(huán)境中運(yùn)行，能夠自動(dòng)掃描和檢測(cè)AWS、Google Cloud Platform、Microsoft Azure、阿里巴巴和騰訊等云平臺(tái)。

此外，它還配備了自定義加載器、植入程序、rootkit和眾多模塊，為攻擊者提供了全方位的隱蔽性、操作安全能力，使其"比典型的Linux惡意軟件先進(jìn)得多"，Check Point表示。

在周二發(fā)布的一項(xiàng)新分析中，該安全公司表示，盡管最初看起來(lái)是大型、資源豐富的開(kāi)發(fā)團(tuán)隊(duì)的產(chǎn)品，但VoidLink很可能并非如此。相反，Check Point Research認(rèn)為VoidLink幾乎完全由AI編寫(xiě)，很可能在單個(gè)個(gè)體的指導(dǎo)下完成，開(kāi)發(fā)痕跡顯示在不到一周的時(shí)間內(nèi)就達(dá)到了第一個(gè)功能性植入程序。

威脅獵手寫(xiě)道："VoidLink表明，人們期待已久的復(fù)雜AI生成惡意軟件時(shí)代很可能已經(jīng)開(kāi)始。"

研究團(tuán)隊(duì)得出這一結(jié)論，是因?yàn)樽⒁獾絍oidLink內(nèi)部文檔中泄露的30周計(jì)劃開(kāi)發(fā)時(shí)間線(xiàn)與觀(guān)察到的時(shí)間線(xiàn)不匹配，后者顯示了一個(gè)更快的過(guò)程。

報(bào)告指出："更深入的調(diào)查顯示了明確的痕跡，表明開(kāi)發(fā)計(jì)劃本身是由AI模型生成和協(xié)調(diào)的，很可能被用作構(gòu)建、執(zhí)行和測(cè)試框架的藍(lán)圖。"時(shí)間戳痕跡顯示VoidLink從概念發(fā)展為功能性惡意軟件用了不到一周時(shí)間。

開(kāi)發(fā)者于11月下旬開(kāi)始開(kāi)發(fā)VoidLink，使用了嵌入在集成開(kāi)發(fā)環(huán)境Trae中的AI助手Trae Solo來(lái)生成中文指令文檔。該個(gè)體并未直接要求智能體構(gòu)建惡意軟件。實(shí)際上，他們指示模型不要實(shí)施代碼或提供關(guān)于惡意軟件構(gòu)建技術(shù)的技術(shù)細(xì)節(jié)，這可能是試圖操縱AI繞過(guò)其安全護(hù)欄。

此外，代碼庫(kù)映射文檔表明，該模型被輸入了最小的代碼庫(kù)作為惡意軟件的起點(diǎn)，而這個(gè)起點(diǎn)被完全重寫(xiě)，端到端。

Check Point的研究人員還發(fā)現(xiàn)了一份用中文編寫(xiě)的工作計(jì)劃，涉及三個(gè)開(kāi)發(fā)團(tuán)隊(duì)：核心團(tuán)隊(duì)（使用Zig編程語(yǔ)言）、武器庫(kù)團(tuán)隊(duì)（C語(yǔ)言）和后端團(tuán)隊(duì)（Go語(yǔ)言）。

安全偵探表示，這份文檔"具有大語(yǔ)言模型的所有特征"，包括沖刺計(jì)劃、功能分解和編碼指南。

雖然這個(gè)練習(xí)被呈現(xiàn)給模型作為一個(gè)30周的工程工作，但時(shí)間戳文檔顯示，開(kāi)發(fā)88000行代碼只用了6天時(shí)間，隨后在12月4日被上傳到VirusTotal，這時(shí)Check Point的研究開(kāi)始了。

據(jù)惡意軟件獵手團(tuán)隊(duì)稱(chēng)，這表明AI在有能力的開(kāi)發(fā)者使用下，可以更快、更大規(guī)模地生產(chǎn)復(fù)雜的攻擊性安全工具，而無(wú)需通常只有經(jīng)驗(yàn)豐富的威脅組織才具備的資金和其他資源。

這并非完全自主的AI驅(qū)動(dòng)攻擊。但它確實(shí)顯示了智能體可以幫助人類(lèi)為惡意目的生產(chǎn)非常有能力、隱蔽的工具。

Q&A

Q1：VoidLink惡意軟件是如何生成的？

A：VoidLink幾乎完全由人工智能生成，很可能只由一個(gè)人在智能體的協(xié)助下開(kāi)發(fā)。開(kāi)發(fā)者使用了嵌入在集成開(kāi)發(fā)環(huán)境Trae中的AI助手Trae Solo，從概念到功能性惡意軟件僅用了不到一周時(shí)間。

Q2：VoidLink惡意軟件有什么特殊能力？

A：VoidLink專(zhuān)門(mén)針對(duì)Linux云環(huán)境，能自動(dòng)掃描檢測(cè)AWS、Google Cloud、微軟Azure、阿里巴巴和騰訊等云平臺(tái)。它配備37個(gè)惡意插件、自定義加載器、植入程序、rootkit和眾多模塊，比典型Linux惡意軟件先進(jìn)得多。

Q3：AI生成惡意軟件意味著什么？

A：這表明復(fù)雜AI生成惡意軟件的時(shí)代可能已經(jīng)開(kāi)始。AI在有能力開(kāi)發(fā)者指導(dǎo)下，可以更快、更大規(guī)模地生產(chǎn)復(fù)雜攻擊性安全工具，而無(wú)需大型威脅組織才具備的資金和資源支持。