被害者のクラウドを37個の悪質なプラグインで狙う、新たに発見されたLinuxマルウェア「VoidLink」は、「ほぼ完全に人工知能によって生成された」もので、開発者はおそらく1人だけだった――この何でもできるインプラントを発見した研究チームはそう述べている。
先週、Check Point Researchはレポートを公開し、12月に最初に発見された前例のないマルウェアサンプルについて報告した。これは完成して本番投入できるツールではなく、開発途中のフレームワークのように見え、中国系と関係のある開発環境に由来するとした。
Linuxベースのクラウド環境で動作するよう設計されており、AWS、Google Cloud Platform、Microsoft Azure、Alibaba、Tencentを自動的にスキャンして検出する。
さらに、カスタムローダー、インプラント、ルートキット、そして多数のモジュールが詰め込まれており、攻撃者に幅広いステルス性と運用セキュリティ能力を提供するため、Check Pointは「典型的なLinuxマルウェアよりはるかに高度だ」と述べた。
火曜日に公開された新たな分析で、同社は、このマルウェアは当初そう見えたにもかかわらず、大規模で潤沢なリソースを持つ開発チームの産物ではない可能性が高いとした。代わりにCheck Point Researchは、VoidLinkはほぼ完全にAIによって、単独の個人の指揮の下で作成された可能性が高く、開発の痕跡から、最初の機能するインプラントに到達するまで1週間未満だったことが示されていると考えている。
脅威ハンターは「VoidLinkは、高度なAI生成マルウェアの待望の時代が始まった可能性を示している」と書いている。
チームがこの結論に至ったのは、VoidLinkの内部文書に漏えいしていた30週間の開発計画のタイムラインが、観測されたタイムライン(はるかに速いプロセスを示す)と一致しないことに気づいたためだ。
レポートは「さらに調査を進めると、開発計画そのものがAIモデルによって生成・統括され、それがフレームワークを構築し、実行し、テストするための設計図として使われた可能性が高いことを示す明確な痕跡が見つかった」と述べている。タイムスタンプ付きの痕跡は、VoidLinkがコンセプトから機能するマルウェアへと1週間未満で進化したことを示しているという。
開発者は11月下旬にVoidLinkの作業を開始し、統合開発環境Traeに組み込まれたAIアシスタントであるTrae Soloを使って、中国語の指示文書を生成した。この人物は、AIエージェントにマルウェアを作るよう直接依頼したわけではない。実際には、コードを実装したり、マルウェア構築手法に関する技術的詳細を提供したりしないようモデルに指示しており、これはAIの安全ガードレールを回避させるために操作しようとした試みである可能性がある。
さらに、コードリポジトリのマッピング文書は、モデルにマルウェアの出発点として最小限のコードベースが与えられ、その出発点が最初から最後まで完全に書き換えられたことを示唆している。
Check Pointの研究者はまた、3つの開発チーム――コアチーム(Zig言語)、アーセナルチーム(C)、バックエンドチーム(Go)――向けに中国語で書かれた作業計画も見つけた。
セキュリティ調査員が「大規模言語モデルの特徴をすべて備えている」とするその文書には、スプリントのスケジュール、機能の内訳、コーディングガイドラインが含まれている。
この作業はモデルに対して30週間のエンジニアリング努力として提示されていたが、タイムスタンプ付き文書によれば、88,000行のコードを開発するのに要したのはわずか6日で、その時点で12月4日にVirusTotalへアップロードされ、そこでCheck Pointの調査が始まった。
マルウェア追跡チームによれば、これは、有能な開発者がAIを用いることで、経験豊富な脅威グループに通常見られる資金やその他のリソースがなくても、高度な攻撃用セキュリティツールをより速く、かつ大規模に生み出せることを示している。
これは完全に自律したAI駆動の攻撃ではない。だが、AIエージェントが人間の作成を助け、悪意ある目的のために非常に有能で、こっそりしたツールを生み出し得ることを示している。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/20/voidlink_ai_developed/
