AIワームのプロトタイプが示す——ネットワーク乗っ取りに「Mythos」は不要

トロント大学の研究チームが、オープンウェイトのローカルLLMを使って、一般的な企業ネットワークに潜む脆弱性や設定ミスを自律的に悪用できることを実証。乗っ取ったGPUを燃料に自己複製を繰り返す手口も明らかになりました。

トロント大学の研究者たちは、AIエージェントを搭載したコンピュータワームのプロトタイプを開発し、シミュレーション環境のネットワーク内で複数のシステムへの自己複製に成功しました。このワームはローカルハードウェア上で動作する無料の大規模言語モデル(LLM)を使用し、古い脆弱性と新しい脆弱性を組み合わせて悪用するとともに、企業環境では今なお広く見られる設定ミスも突いています。

CISOやセキュリティ業界がAnthropicのMythosのようなフロンティアモデルによる重要ソフトウェアのゼロデイ脆弱性発見能力を懸念するいまこそ、この実験は重要な警鐘を鳴らしています——一般的な企業ネットワークに大混乱をもたらすために、最先端のAIは必要ないのです。むしろ、APIでのみアクセス可能な有料モデルを使用すれば、コンピュータワームのような自律型悪意システムには弱点となります。安全ガードレールを迂回するプロンプトは、AIラボによってすぐに検出・ブロックされるからです。

「小規模で無料のAIモデルだけを使って、各マシン固有の弱点(業界から報告されたばかりの脆弱性や、パスワードの使い回しといった設定ミスを含む)を自律的に特定・悪用し、コンピューティングパワーを奪ってノートPC、カメラ、あらゆるオンラインデバイスを乗っ取り、さらにサーバーやネットワークに自己複製してデータを盗んだり新たな攻撃を仕掛けたりすることができる——そのようなAI駆動型コンピュータワームの作成が可能であることを発見しました」と、トロント大学CleverHans Labの研究チームは報告書の中で述べています。「最新で最も強力なAIモデルは一切使用していません。この新しい脅威に対する唯一の防御手段は存在しません。」

攻撃的サイバー攻撃向けエージェントハーネスの構築

Claude OpusやGPT 5.5のようなフロンティアモデルは百万トークン規模のコンテキストウィンドウを備え、単一タスクの解決に数十分から数時間にわたって推論を続けることができますが、単一GPUで動作するローカルホスト型LLMではこのアプローチは通用しません。コンテキストウィンドウははるかに小さく、エージェントタスクにおける命令追従能力も概して劣ります。

こうした問題に早くから直面してきたバイブコーディングの開発者たちは、複雑なソフトウェアエンジニアリングプロジェクトをフェーズとステップに分割し、マークダウンファイルからデータベースまでさまざまなメモリシステムを通じて結果を共有する複数のサブエージェントが並列実行するカスタムハーネスとエージェントフレームワークを構築することで解決してきました。

CleverHans Labの研究者たちはこうした知見を活かし、ローカルLLMの制限を補うための攻撃的セキュリティ目的の独自ハーネスを構築しました。フェーズごとの設計と、特化したプロンプトでLLMを呼び出すタスク固有ノードを備えています。

「このコアは補完的なシステムによって支えられています。独立したLLM呼び出しをまたいで発見内容を保持する階層型メモリ、一般的なアクションシーケンスをカプセル化し実行結果を解釈するツールとそのハンドラー、必要に応じてコンテキストに応じたペンテストガイダンスを注入するスキルシステム、そしてインスタンス間でインテリジェンスを共有するマルチエージェント協調機能です」と彼らは論文の中で説明しています。

セキュリティ研究やペネトレーションテスト向けに構築されたエージェントハーネスは新しい概念ではなく、以前から存在しています。オープンソースの例としては、脆弱性発見とエクスプロイト作成を目的としたClaude Code向けのスキル・エージェントフレームワークRAPTORや、SecOpsAgentKitなどがあります。

「ハーネスを使用することで、以前のモデルも能力次第でMythosレベルに近い、あるいは同等かそれ以上のパフォーマンスを発揮できます」と、AIセキュリティ企業KnosticのCEOであり、RAPTORの開発者の一人であるGadi Evron氏はCSOに語りました。「新しいモデルが登場すると、以前はハーネスが必要だったことをプロンプト一つで達成できるようになります。するとまた新しいハーネスが構築され、その繰り返しです。」

脆弱な企業ネットワークのシミュレーション

CleverHans Labの研究者たちは、Ubuntu(16.04〜24.04)、Debian(9〜12)、Alpine Linux、Rocky Linux 9、CentOS Stream 9、Windows Server(2008 R2、2019、2022)といった多様なOSが動作する仮想マシンで構成されたネットワークを構築しました。これらの仮想マシンは、さまざまなWebサービスを実行するサーバー、IoTデバイス、そして一般的な企業ネットワークで見られる産業制御システムをシミュレートしています。

研究者たちはシミュレーション環境に、古いものから数日前のものまで多様な脆弱性を意図的にパッチ未適用のまま放置し、アクセス制御の欠如やSQLインジェクションといった一般的な設定ミスや汎用的な欠陥も残しました。目的は、AIを搭載したワームがシステムを発見し、開いているポートを特定し、露出しているサービスを識別し、脆弱性を見つけて悪用した上で、侵害したシステムに自己複製できる能力をテストすることでした。

各システムには、初期アクセスを可能にするリモートから悪用可能な欠陥と、rootへの権限昇格とマシンの完全乗っ取りに利用できるローカルの欠陥・弱点の両方が存在していました。

「この2つのクラスは補完的な能力を評価しています。CVEはソフトウェアバージョンのフィンガープリントを取り、ターゲット環境に合わせてエクスプロイトコードを動的に適応またはコンパイルするエージェントの能力をテストします。一方、CWEは既製のエクスプロイトが適用されない、オープンエンドなターゲット固有の推論能力を探ります」と研究者たちは述べています。「ネットワークが実世界で遭遇する脆弱性を反映するよう、すべてのターゲットは3つの権威ある脅威タクソノミー——実際に悪用されている脆弱性を網羅するCISA既知悪用脆弱性カタログ、一般的なWebおよびソフトウェアの脆弱性を扱うOWASP Top 10: 2025、そして初期アクセス後に使用される攻撃者の技術を整理したMITRE ATT&CKフレームワーク——からそれぞれ抽出されています。」

さらに、一部の仮想マシンにはGPUが搭載されており、ワームが自己複製した後に研究者が外部システムでホストするLLMに依存するのではなく、そのコンピューティングリソースを乗っ取ってモデルをローカルで実行できるようになっていました。

7日間にわたる5世代の自己複製を経て、ワームはシミュレーション環境の33システムのうち27に拡散することに成功しました。脆弱性の正確な特定は試みの82%で達成され、そのうち悪用に成功したのは44%でした。悪用成功率は決して高くはありませんが、侵害されたシステムがそれぞれ新たな悪意あるエージェントのインスタンスとなる並列・スウォーム型の実装がこれを補い、最終的に全体として高い成功率を達成しています。

これは、Forescoutのセキュリティ研究者が今年初めに実施した調査で得た結果とおおむね一致しています。この調査ではモデルが脆弱性の発見・悪用においてどれほど優れるようになったかが検証されました。新世代のオープンウェイトモデルが脆弱性の発見・悪用の両面で能力を大幅に向上させていることが示された一方、単一GPUでローカル動作させるために量子化された小型バリアントは、依然としてこうしたタスクで低い性能にとどまっていることも明らかになっています。

ただし研究者たちは当時、RAPTORのような特化型AIエージェントフレームワークを使用することで、OpenDNSに新たなゼロデイ脆弱性を発見できたとも指摘しています。

「オープンソースまたは一般的に市販されているモデルの多くは、適切なハーネスと組み合わせれば脆弱性を発見し、悪用し、悪意あるコードを作成するなどのことができる程度に、すでに十分な性能を持っています」と、ForescoutのVP of ResearchであるDaniel dos Santos氏はCSOに語りました。「トロント大学の今回の研究は、同様のモデルが動的に適応するワームの作成にも使用できることを示しています。」

ドス・サントス氏のチームがアンダーグラウンドフォーラムで観察した議論によれば、サイバー犯罪者たちもモデル能力のこうした進歩を認識しており、サイバー犯罪向けにファインチューニングされた「アンダーグラウンド」モデルではなく、オープンソースや商用モデルに注目する攻撃者が増えているとのことです。

刻一刻と迫るタイムリミット

ゼロデイ攻撃は注目を集めており、AIによってこうした脆弱性がかつてないほど多くの攻撃者の手の届くところに来ています。しかし現実には、インターネット上や企業ネットワーク内には、設定ミスを抱えていたり、パッチや緩和策が存在するにもかかわらず既知の脆弱性が放置されたままのシステムが溢れています。

トロント大学の実験は、防御側も同様のスピードで対応できる必要があることを示しています。特にこのプロトタイプでは、新しい脆弱性に関する情報が公開から数時間以内にワームのナレッジベースに組み込めることが示されており、その点は注目に値します。さらに、ワームがノード実行のためにGPUを乗っ取る能力は、攻撃者がこうしたAI支援攻撃を実行するために必要な投資コストをさらに低下させます。

「組織には際限のない技術的・セキュリティ的負債があり、AI攻撃が増加する中、もはや時間的余裕はありません」とEvron氏は語ります。「しかし変化には時間がかかります。特に企業においては。鍵は今すぐ準備を始めることです。まもなく、私たちは悪用までの時間を測定するのではなく、日常業務への影響を最小化しながら定期的に発生する同時多発のデータ侵害に対処する能力など、新たな測定指標を構築する必要が出てくるでしょう。」

トロント大学の研究者たちは、企業がAI支援ペネトレーションテストやファジングを採用して自社インフラの悪用可能な弱点を発見するよう呼びかけています。また、パッチや緩和策を迅速に展開する能力の構築も重要だと訴えており、この点は現状で大きな課題となっています。

ただし研究者たちは、プロトタイプにいくつかの限界があることも認めています。例えば、動作が「騒がしく」、エンドポイントやネットワーク監視システムで検出される可能性のある多くの行動シグネチャを残してしまう点が挙げられます。また、シミュレーションネットワークには基本的なネットワークセグメンテーションが欠如しており、ゼロトラストアーキテクチャによるラテラルムーブメントの防止や、各ホストシステムのソフトウェア依存関係と攻撃対象領域の最小化によってさらなる改善が可能です。

「脆弱性の発見、エクスプロイト、攻撃のオーケストレーションが自律化した現在、防御にとっての深い意味は、セキュリティプログラム構築に関する私たちの多くの前提が今や問われているということです」とEvron氏は述べています。「成熟した防御AIが実現するまでの間、私たちはコーディングエージェントで人材を強化してマシンのスピードに追いつかせ、そのエージェント自体も守っていかなければなりません。」

翻訳元: https://www.csoonline.com/article/4181924/ai-worm-prototype-shows-attackers-dont-need-mythos-to-take-over-your-network.html

ソース: csoonline.com