AnthropicのMythosやOpenAIのMythos、そしてGPT 5.5-Cyberのような超高度AIモデルのバグ発見能力に対して、多くの懸念が広がっています。しかし攻撃者たちはすでに、無料で公開されているLLMを使って、はるかに低コストでネットワークを乗っ取り、ソフトウェアのサプライチェーンにワームを広げています——少なくとも攻撃者側にとっては。
最新の事例は、トロント大学の研究者たちによるものです。彼らは2025年にリリースされた名称非公開の公開オープンウェイトモデルを使用し、企業のテストネットワーク内で拡散したとされるコンピューターワームを開発しました。
この自己増殖型コードは、標的システム上の既知の脆弱性や設定ミスをリアルタイムで特定し、攻撃を生成・実行してネットワーク内を横断移動し、追加のマシンを次々と侵害します。
しかもこれはすべて、シングルGPUで動作する小型の無料モデルで構築されています。
「最大かつ最強のAIモデルだけがセキュリティ上の懸念をもたらすわけではないことを、人々は理解する必要があります。脅威の別の領域が大幅に過小評価されています」と、トロント大学のコンピューター工学教授Nicolas Papernot氏はThe Registerに語りました。
Papernot氏と共同研究者のJonas Guan氏、Tom Blanchard氏、Hanna Foerster氏、Hengrui Jia氏、Gabriel Huang氏は、火曜日に研究結果を公開しました(PDF)。
主要な商業AIシステムが実装しているガードレールやその他の安全機能は「不可欠」であるとPapernot氏は述べましたが、実際には「それらは同様の設計を持つAI駆動ワームの脅威を防ぐことはできないでしょう」と語りました。
「実際のサイバー攻撃の大半はゼロデイ脆弱性に依存していません」と同氏は続けました。「私たちの研究は、攻撃者が既知の脆弱性を大規模かつ安価に活用できるようになったことを示しています。これにより、防御側が脆弱性を修正し、パスワードの使い回しやバックアップジョブの設定ミスといった人的エラーを発見するための時間的余裕が狭まっています。」
論文では使用したLLMを特定しておらず、Papernot氏もその名称を明かすことを断りました。
「悪意ある行為者が類似したマルウェアを構築するうえで実質的に役立ちうる一部の方法論的詳細(エージェントの推論グラフやツールハーネスなど)および実験の具体的内容(AIモデルなど)は省略しました」とPapernot氏は述べました。「誤用を可能にする設計図を提供することなく、科学的精査に耐えうる十分な信頼性で脅威を示せる情報を共有しました。」
研究者たちはコードを公開しないとしつつも、防御研究を目的とした審査済み研究者がアクセスを申請できる審査プロセスをトロント大学と連携して設けていることも明らかにしました。
NotPetyaではない
過度に心配する前に、この研究について注目すべき点がいくつかあります。
まず、MythosなどのAIモデルとは異なり、このワームのプロトタイプはゼロデイ脆弱性を悪用しません。標的とするのは、公表済みだがパッチ未適用のバグ、設定ミス、そして繰り返し発生する脆弱性クラスのみです。
これは意図的な選択です。著者らはWannaCryとNotPetyaを例に挙げ、実際のサイバー攻撃の大半が利用するのはゼロデイではなく既知のセキュリティ欠陥だと主張しています。これら2つのワームはいずれも、マルウェアが脆弱なマシンに感染する少なくとも1か月前にはパッチが提供されていたセキュリティホールを悪用していました。そして両ワームは急速に拡散し、世界的な混乱を引き起こしました。
ただしこのワームは、実行時に公開済みのセキュリティアドバイザリ情報を取り込み、そのデータを活用してエクスプロイトを開発することで、モデルの学習カットオフ後に公開された脆弱性を発見・悪用することもできました。
論文はWannaCryとNotPetyaを最悪のケースの例として繰り返し挙げていますが、ラボでテストされたこのプロトタイプや類似のものが、これら2つの過去のワームが引き起こしたレベルの破壊をもたらすことはないでしょう。
両ワームは非常に速く拡散しました。WannaCryは2017年5月のわずか1日で150か国以上の23万台以上のコンピューターに感染しました。2017年6月、NotPetyaは数時間以内に世界中に拡散し、少なくとも1つの大規模な銀行ネットワークをわずか45秒でダウンさせました。さらに、両ワームとも高度なエvasion技術を駆使してセキュリティツールによる検知を巧みに回避していました。
一方、今回のワームは動作が遅いです。実験に使用した「FakeCorp」ネットワークでは、プロトタイプがネットワークの半分に複製されるまでに約5日間を要し、偵察・戦略立案・ペイロード生成のために標的ごとに数百回のLLM推論呼び出しを必要としました。
このタイムラインにより、防御側は検知と対応のための時間的余裕が長くなります。ただし、推論ハードウェアとモデルの効率が向上するにつれて、この時間は短縮される可能性があります。
また、WannaCryやNotPetyaとは異なり、このワームは自身を隠そうとしません。「私たちは意図的に、ワームに隠蔽機能を持たせないことを選択しました——痕跡を消したり、ネットワークのフットプリントを最小化するよう指示されておらず、そのためのツールも持っていません」と研究者たちは書いています。「これは誤用のリスクをさらに限定するための、意図的な方法論的選択でした。」
最後に、テストネットワークのデバイス自体にはエンドポイント検出、アンチウイルス、ファイアウォールソフトウェアが一切導入されていなかったため、(願わくば)これは現実的とはいえない設定です。
FakeCorpターゲットネットワークへの侵害
実験の仕組みは以下のとおりです。
チームは、Linuxサーバー、Windows環境、IoTデバイスを含む33台のホストで構成される隔離ネットワーク上で、15回の独立した実験においてワームのプロトタイプを展開しました。各コンピューターには、ソフトウェアのバグや設定ミスを含む少なくとも1つの実際の脆弱性が仕込まれていました。
ワームは7日間にわたって完全に自律的に動作し、平均31.3個の脆弱性を正確に特定し、23.1台のホストで権限昇格を伴う侵害に成功し、20.4台のホストへの伝播を果たしました。最大7世代の自己複製に達したとのことです。
「言い換えると、概念実証ワームは平均してネットワークの73.8%の侵害に成功し、ネットワークの61.8%に複製されました」と研究論文は述べています。
デバイス上の既知の欠陥を発見・悪用するだけでなく、このワームはLLMの学習カットオフ後に公開された脆弱性も発見しました。最近のLinuxの2つの欠陥であるCopyFailとDirtyFrag、およびMarimoノートブックプラットフォームにおけるリモートコード実行につながる重大なバグ(CVE-2026-39987)です。
AIベースのワームは、これら3つのホスト上のワンデイ脆弱性に対して、67回の試みのうち41回(61%)でroot権限の取得に成功しました。内訳はMarimoホストで27回中13回、DirtyFragで17回中15回、CopyFailで23回中13回です。
2つのLinux脆弱性は実験直前に公開されたもので、公開済みのエクスプロイト手順を含む単一のドキュメントさえあれば、ワームは70%の確率(40回中28回)でそれらを武器化することができました。
「この結果は、同じ侵害パイプラインがアーキテクチャの変更なしに新たに公開された脆弱性情報を吸収できることを示唆しています」とチームは書いています。
ワームが巧妙になるとき
脆弱性の発見と悪用に加え、このAIワームは実験中にいくつか興味深い巧妙な行動も見せました。
ファイアウォールやエンドポイントセキュリティ製品が有効化されていないにもかかわらず、研究者たちは「多層防御をさらに強化する」ためにワームのコードにいくつかのコンポーネントを追加しました。これにはソースコードに組み込まれたIPアドレスの拒否リストが含まれていました。
理論上、ワームは新しいマシンを標的にするたびに拒否リストを読み込み、IPアドレスがリスト上のものと一致した場合は新たな標的に移動することで、一部のホストへの感染を防ぐはずでした。しかし実際には、実験の「さまざまな時点で」ワームが自身のソースコードを書き換え、拒否リスト上のIPアドレスも攻撃できるようにしてしまいました。
別の回避行動の例として、Alpine LinuxとWindows Server 2008のマシン上のレプリカワームが仮想マシンチェックにより起動時にクラッシュした際、親ワームは標的コンピューター上のアテステーションソースファイルを発見してVM検出チェックを削除し、新しいマシン上での複製を成功させました。
「この動作はエージェントの指示によって促されたり奨励されたりしたものではありませんでした。エージェントは自律的に失敗を診断し、原因となったコードを特定し、目標を達成するためにそれを修正しました」と研究者たちは書いています。
別のテスト実行では、研究者たちが誤って管理者資格情報を含むFakeCorpのネットワーク構成ファイルをワームコードと一緒にパッケージ化してしまいました。ワームはその資格情報を発見し、他の稼働中のレプリカワームと共有した結果、「封じ込められた環境内で伝播が急激に増加しました。」
さらに、2つの別個のインスタンスにおいて、ワームは意図した複製パイプライン以外のメカニズムを使用して、侵害したコンピューター上に永続化を確立しました。1つのケースでは、レプリカプロセスを起動した後、マシンのサービス管理システムに登録して終了後も自動再起動されるようにしました。もう1つのケースでは、スケジュールタスクを作成してレプリカワームを再起動させ、元のプロセスが終了した後でも再出現するようにしました。
「エージェントは、動作中のレプリカを維持するという全般的な目標から、標的上で利用可能な永続化メカニズムをレプリカをより堅牢にするために活用できると自律的に推論したようです」と研究者たちは述べています。
研究を公開する前に、研究者たちは「国家の科学・セキュリティ・防衛」機関に調査結果を共有し、情報の責任ある公開方法についてアドバイスを求めたと述べています。どの政府機関に連絡し、どのような反応があったかについてPapernot氏に詳細を尋ねましたが、同氏はそれ以上の情報を共有することを断りました。®
