Złośliwe oprogramowanie uczy się AI przepisywać własny kod i uciekać przed wykryciem
Badacze z Google Threat Intelligence Group (GTIG) odkryli, że hakerzy tworzą malware, które potrafi wykorzystać potęgę dużych modeli językowych (LLMs) do przepisywania samego siebie w czasie rzeczywistym. Ekspresyjna rodzina złośliwego oprogramowania, nazwana PROMPTFLUX, zidentyfikowana przez GTIG w niedawnym wpisie na blogu, może przepisywać własny kod, aby uniknąć detekcji. To eskalacja, która może sprawić, że przyszłe ataki będą trudniejsze do wykrycia, co potwierdza rosnące obawy dotyczące cyberbezpieczeństwa wynikające z wprowadzenia i szerokiego zastosowania generatywnej AI. „dynamicznie generują skrypty złośliwe, zaciemniają własny kod, aby uniknąć wykrycia, i wykorzystują modele AI do tworzenia złośliwych funkcji na żądanie, zamiast trwale umieszczać je w malware,” GTIG napisał. Według Google ta nowa „metoda na żądanie” reprezentuje znaczący krok w kierunku bardziej autonomicznego i adaptacyjnego malware. PROMPTFLUX to trojan, który współdziała z interfejsem API modelu Gemini AI, by uczyć się, jak modyfikować sam siebie w locie, aby uniknąć wykrycia. „Dalsze badanie próbek PROMPTFLUX sugeruje, że ta rodzina kodu znajduje się obecnie w fazie rozwoju lub testów, ponieważ niektóre niekompletne funkcje są skomentowane, a istnieje mechanizm ograniczający wywołania Gemini API przez malware,” napisała grupa.
In This Article:
Jak działa PROMPTFLUX
PROMPTFLUX to trojan, który współdziała z interfejsem API modelu Gemini AI, aby uczyć się, jak modyfikować sam siebie na bieżąco, by uniknąć wykrycia. „dynamicznie generują skrypty złośliwe, zaciemniają własny kod, aby uniknąć wykrycia, i wykorzystują modele AI do tworzenia funkcji szkodliwych na żądanie, zamiast trwale umieszczać je w malware,” GTIG napisał. Według Google ta nowa „metoda na żądanie” reprezentuje znaczący krok w kierunku bardziej autonomicznego i adaptacyjnego malware.
Stan badań i rozwój PROMPTFLUX
Dalsze badanie próbek PROMPTFLUX sugeruje, że ta rodzina kodu znajduje się obecnie w fazie rozwoju lub testów, ponieważ niektóre niekompletne funkcje są skomentowane, a istnieje mechanizm ograniczający wywołania Gemini API przez malware. „Dalsze badanie próbek PROMPTFLUX sugeruje, że ta rodzina kodu znajduje się obecnie w fazie rozwoju lub testów, ponieważ niektóre niekompletne funkcje są skomentowane, a istnieje mechanizm ograniczający wywołania Gemini API przez malware,” napisała grupa.
Czy to już w sieci i co to oznacza
Na razie złośliwe oprogramowanie PROMPTFLUX nie zostało zaobserwowane w praktyce na komputerach użytkowników — „aktualny stan tego złośliwego oprogramowania nie wykazuje zdolności do naruszenia sieci ofiary lub urządzenia,” podał Google. „Podjęliśmy działania, aby wyłączyć zasoby związane z tą działalnością.” Niemniej GTIG zauważa, że tego typu malware „wydaje się być „powiązane z aktorami motywowanymi finansowo.” Zespół ostrzega przed dojrzewającym „podziemnym rynkiem narzędzi AI”, który mógłby obniżyć „barierę wejścia dla mniej zaawansowanych aktorów.”
Geopolityczny i rynkowy kontekst zagrożeń
Zagrożenie ze strony AI w rękach przeciwników staje się coraz realniejsze. Według Google, „Aktorzy sponsorowani przez państwo z Korei Północnej, Iranu i Chińskiej Republiki Ludowej” już kombinują z AI, aby usprawnić swoje operacje. W odpowiedzi GTIG wprowadził nową koncepcyjną ramę mającą na celu zabezpieczenie systemów AI. Chociaż generatywna AI może być używana do tworzenia prawie niemożliwych do wykrycia złośliwych programów, może być także używana w dobrych celach. Na przykład Google niedawno wprowadził agenta AI, nazwanego Big Sleep, który ma na celu wykrywanie podatności w oprogramowaniu. Innymi słowy, AI stawia się naprzeciw AI w cyberbezpieczeństwie, które rozwija się w zawrotnym tempie.
Autor i kontekst tworzenia treści
Jestem starszym redaktorem w Futurism, gdzie redaguję i piszę o NASA i prywatnym sektorze kosmicznym, a także o tematach od SETI i sztucznej inteligencji po politykę technologiczną i medyczną.
