トロント大学、ベクター研究所、ケンブリッジ大学の研究者たちが、固定の脆弱性リストに依存しない概念実証(PoC)AIワームを構築・テストしました。
このワームは、遭遇したターゲットをその場で分析し、攻撃方法を推論しながら戦略を即座に生成します。そのすべての処理を、すでに侵害済みのマシン上で直接動作する小型の無償大規模言語モデル(LLM)を活用して行います。
侵害済みハードウェア上のオープンウェイトモデルで動作するワーム
「このプロトタイプは、公開済みながら未パッチの脆弱性、設定ミス、繰り返し発生する脆弱性クラスを標的としています。これは実際のサイバー攻撃の大部分が依存している要素です」と、研究者たちは述べています。
「未知のゼロデイを発見する能力は必要ありません。必要なのは、多様なターゲット構成に対して既知の脆弱性を実際に悪用できるAIモデルだけです。」
このワームは、Linuxサーバー、Windowsマシン、IoTデバイスで構成される33ホストの隔離テストネットワーク上で展開されました。ネットワーク内には既知の脆弱性、設定ミス、繰り返し発生する脆弱性クラスが存在しており、15回の独立した試験において1試験あたり7日間にわたって実行されました。
Kaliマシン上のエージェントプロセスからAIワームが拡散する仕組み(出典:トロント大学 CleverHans Lab)
研究者たちがプレプリント論文で説明したところによると、ワームは平均して31.3件の脆弱性を正確に特定し、23.1台のホストへの高権限アクセスを取得、20.4台のホストへの拡散に成功しました。
また、このワームはモデルの学習カットオフ日以降に公開された脆弱性(Copy Fail、Dirty Frag、Marimo RCE)についても、実行時に公開セキュリティアドバイザリを読み込んでその情報を利用し、動作するエクスプロイトを生成することで悪用できることを示しました。
さらに、このワームは予期しない失敗を自己診断し、汎用的な推論によって回避策を見つけ出しました。たとえば、自身のソースコード内にハードコードされたIPブロックリストを発見し、指示なしにそれを書き換えました。
別の例では、VMチェックのバグが原因でAlpine LinuxおよびWindows Server 2008ホスト上のレプリカがクラッシュした際、親ワームがターゲットマシン上で認証ソースファイルを発見し、失敗していたチェックを削除して再試行を成功させました。
商用AIプラットフォームに依存しないプロトタイプワーム
このプロトタイプが特に不安を感じさせる点は、その自律的な持続方法にあります。ワームは感染したGPU搭載マシンを乗っ取り、奪取した計算資源を使って言語モデルをローカルで実行します。IoTセンサーのようにモデルを自前でホストできない低リソースデバイスは、推論クエリを上流の感染済みGPUノードへ転送します。
商用AIプラットフォームが導入している制御機能は、この新種の脅威を阻止するには無力であることが明らかになりました。また、攻撃者がローカルの実行環境を完全に制御している場合、オープンウェイトモデルの安全ガードレールを回避できることも示されています。
「評価したこの概念実証は、基盤モデルの能力的な限界を引き継いでいます。個別の悪用試行の成功率は44%であり、失敗の大部分は戦略の誤りではなく、ペイロードの形式不正に起因するものです」と研究者たちは述べています。
「ワームは特に、Webアプリケーション構造、Windowsコマンド環境、精密な文字列操作を要するペイロード構文において苦戦しました。これらはコード生成における現世代シングルGPUモデルの上限を反映したものであり、このアプローチ自体の本質的な制約ではありません。言語モデルのコード生成能力と構造化出力が向上するにつれ、この差は縮まっていくと考えられます。1回あたりの試行における脆弱性はあるものの、スウォームアーキテクチャが並列かつ独立した推論経路によってそれを補い、今回報告した結果を達成しました。」
AIワームに対する現時点での最善の防御策
研究者たちはこの研究のデュアルユース(軍民両用)的な性質について率直に認めており、エージェントの推論アーキテクチャや完全なツールセット、使用したLLMの名称などの運用上の詳細については、公開論文から意図的に除外しています。
公開前には複数のカナダの科学・安全保障・防衛当局に調査結果を開示し、攻撃者の助けになりうる情報が論文に含まれないよう支援を受けました。(セキュリティ研究者はトロント大学にプロトタイプへのアクセスを申請できます。)
また、革新的な自己複製能力を持つことから、研究者たちはワームをテストラボ内に封じ込めることにも細心の注意を払いました。
「この研究は、自律型サイバー攻撃が理論的なリスクから実証された能力へと踏み越えたという経験的証拠を提供するものであり、AI研究、サイバーセキュリティ、公共政策にまたがる課題です」と研究者たちは指摘しています。
「この研究は、世界がまだ対処する準備ができていない新たなサイバーセキュリティの脅威を明らかにしました。研究者、産業界、政策立案者、そして一般の人々が緊急性をもって一致団結し、この新たな脅威に取り組む必要があります。」
防御面では、この研究において2つの優先事項が示されています。
- AIを活用した自動ペネトレーションテストおよびファジングツールの自組織への適用:攻撃者に発見される前に、自社インフラの悪用可能な弱点を特定し、修正することが重要です
- 適切なネットワークセグメンテーションによるワームの拡散抑止:境界内のすべてを信頼せず、あらゆるアクセス要求に継続的な認証を求めるゼロトラストの原則と、侵害された足がかりから攻撃者が広がれる範囲を制限するマイクロセグメンテーションが不可欠です
今回のプロトタイプワームの振る舞いの特徴はネットワーク監視や侵入検知システムで検出可能ですが、悪意ある攻撃者によって作られた将来のワームはそれらの回避においてより巧みになる可能性があると、研究者たちは警告しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/03/autonomous-ai-worm-prototype/
