AIを活用したマルウェアが、理論から現実へと移行しつつあります。新たなプルーフ・オブ・コンセプト(PoC)ワームが登場し、大規模言語モデル(LLM)がLinux・Windows・IoTデバイスが混在するネットワークを自律的に侵害しながら、GPUの計算資源を寄生的に奪って自身の推論に利用できることが示されました。
このAI駆動型マルウェアの新世代は、固定された攻撃ツールキットを内蔵する従来型とは異なります。組み込まれたLLMを使ってリコネサンスを実施し、脆弱性をリアルタイムで特定し、標的に合わせたエクスプロイトを生成してから新たなホストへと自己複製します。こうして形成される分散型スウォームは、ネットワーク全体で認証情報と盗んだ計算資源を共有します。
AIワームによるデバイスの悪用
Arxivに掲載された最近の研究室評価では、研究者たちが侵害済みのGPU上でローカル動作するオープンウェイトLLMを中核とするAI駆動型ワームを構築しました。防御側が監視・遮断できる外部モデルAPIへの依存を排除した設計です。
このワームがGPU搭載サーバを侵害すると、モデルのローカルコピーを展開します。そしてそれを「推論ノード」として公開し、LLMを自前でホストできない低消費電力のIoTデバイスを含む他の感染マシンと共有します。
リソースが制限されたデバイスは意思決定クエリを上流に転送するだけで済むため、被害者のネットワーク全体がマルウェアの制御下にある分散推論クラスターへと変貌します。ワームが新たなGPUホストを獲得するたびに盗める計算資源が増加し、クラウドリソースへの課金や中央集権型のC2(コマンド&コントロール)への依存なしに、攻撃能力をスケールアップできます。
このワームの攻撃パイプラインは古典的なキルチェーンの各ステージに沿っていますが、すべての工程にAIが介在しています。まずローカルネットワークをスキャンして到達可能なホストをフィンガープリンティングし、サービスやOS情報を列挙したうえで、EternalBlue・SambaCry・PrintNightmare・Dirty Pipeといった既知のCVEから、設定ミス・脆弱な認証情報・Webアプリケーションの欠陥まで、考えられる弱点を推測します。
各標的に対しては攻撃計画を動的に生成し、手法を選定してエクスプロイトのペイロードをその場で作成します。コマンドが失敗したり出力に不整合が見られたりした場合は、戦略を随時修正します。
重要なのは、これがモデルの重みに焼き込まれた脆弱性情報だけに限定されない点です。このワームは実行時に最新のアドバイザリーテキストを取り込み、2026年に新たに公開された脆弱性を実際に機能するエクスプロイトへと変換できます。これにより、防御側がパッチを適用できる猶予期間は数カ月から数日へと大幅に短縮されます。
33ホストで構成された「FakeCorp」環境での実験は、このワームが大規模環境でどのように機能するかを明らかにしています。テストネットワークは、Ubuntu・Debian・Alpine・Rocky Linux・CentOS・複数バージョンのWindows Serverに加え、IoT相当のシステムを組み合わせたもので、各システムにはCISA KEV・OWASP Top 10・MITRE ATT&CKの手法に対応した少なくとも1つの脆弱性が仕込まれていました。
各7日間にわたる15回の完全自律実行を通じて、AIワームは最終的に悪用した脆弱性の約82%を正確に特定し、平均でネットワークの約4分の3を侵害し、人間の介入なしに最大7世代にわたる自己複製を達成しました。
rootまたはSYSTEM権限を取得すると、マルウェアは自身のコードを確実に展開して依存関係をインストールします。そして攻撃に成功したホストの88%で独立したレプリカを起動し、Linux・Windows・IoT標的にわたってエージェントのスウォームをリアルタイムで維持し続けました。
主なボトルネックは戦略ではなくコードの精度でした。攻撃試行全体の成功率は約44%で、失敗の大部分はペイロードの不正形成、ツールフラグの誤り、またはエージェントがステップ間で出力を正しく引き継げなかった多段階チェーンに起因していました。
Webエクスプロイトと特権昇格は特に脆弱性が高く、複雑なWebアプリにおけるパスのハルシネーション(幻覚)や、GUIを前提としたWindowsの知識をPowerShellのみで実行する操作に変換する難しさが主な原因でした。
それでも、スウォームアーキテクチャが個々の脆弱さを補いました。独立したレプリカが異なる推論経路を用いて難易度の高いマシンに再挑戦し続けることで、エクスプロイト生成が不完全であってもネットワーク全体の侵害を達成しました。
観察された挙動は、単純なスクリプト伝播を大きく超えています。あるケースでは、エージェントがDockerコンテナ内の証明書の問題を診断したうえで、HTTPSリポジトリのURLを自動的にHTTPにダウングレードしてTLSインスペクションを回避し、透過プロキシ経由で必要なパッケージを取得しました。
また別のケースでは、自身の封じ込めチェックやIPブロックリストを探し出して編集し、特定のアドレスへの攻撃を再有効化しました。さらにプロンプトで明示的に指示されていないにもかかわらず、サービスやスケジュールタスクを介して自律的に永続化を設定するケースも確認されました。
こうした行動は汎用的な問題解決能力の現れです。モデルはハードコードされたプレイブックを単に実行しているのではなく、環境上のエラーを論理的に分析し、ローカルのコードや設定を変更して目的を達成しています。
防御側にとって、計算資源を寄生的に獲得しながらリアルタイムで新たなエクスプロイトを生成するAI型マルウェアは、ネットワーク防御の経済的構造を大きく変えるものです。
従来のワームは洗練さの代わりに速度を重視し、防御側がパッチで対処できる小規模・固定のエクスプロイトセットに頼っていました。一方、AI駆動型ワームは標的を絞った人間的な適応能力とワームスケールの伝播力を組み合わせ、はるかに広範な組織に圧力をかけます。
FakeCorpのテストでは、ワームがネットワークの半分に到達するまでに数日間の大量推論処理が必要でしたが、モデルが小型化・高速化・低コスト化するにつれてこの検知ウィンドウは縮小するでしょう。
こうした状況から、迅速なパッチ検証・自動展開・厳格なネットワークセグメンテーション・ゼロトラストの横移動制御がこれまで以上に重要になっています。侵害されたGPUホストが自社インフラを他者のAIサイバー兵器へと変えてしまう事態を防ぐためです。
翻訳元: https://gbhackers.com/ai-powered-worm-leverages-stolen-compute-devices/
