最近発見されたクラウド特化型のVoidLinkマルウェア・フレームワークは、人工知能モデルの助けを借りて、1人の人物によって開発されたとみられている。
Check Point Researchは先週、VoidLinkの詳細を公開し、カスタムローダー、インプラント、回避のためのルートキットモジュール、そして機能を拡張する数十のプラグインを提供する高度なLinuxマルウェア・フレームワークだと説明した。
研究者らはこのマルウェア・フレームワークの高度さを強調し、「複数のプログラミング言語に強い習熟を持つ」中国の開発者による産物である可能性が高いと評価した。
本日のフォローアップレポートで、Check Pointの研究者は「このマルウェアが主としてAI主導の開発によって作られたという明確な証拠」があり、1週間以内に機能する反復版に到達したと述べている。
この結論は、VoidLinkの開発者による複数の運用セキュリティ(OPSEC)上の失敗に基づいており、それによりソースコード、ドキュメント、スプリント計画、内部プロジェクト構造が露出した。
脅威アクターの失敗の1つは、開発プロセスのさまざまなファイルを保存していたサーバー上のオープンディレクトリが露出していたことだった。
「VoidLinkの開発は2025年11月下旬に始まった可能性が高く、その際、開発者はTRAE(AI中心のIDE[統合開発環境])に組み込まれたAIアシスタントであるTRAE SOLOに頼った」と、Check PointはBleepingComputerに語った。
研究者らはIDE内の会話履歴全体にはアクセスできなかったものの、脅威アクターのサーバー上で、TRAEのヘルパーファイルを発見し、そこには「モデルに提供された元のガイダンスの重要な部分」が含まれていた。
「それらのTRAE生成ファイルは、ソースコードと一緒に脅威アクターのサーバーへコピーされたようで、その後、露出したオープンディレクトリにより表面化しました。この漏えいにより、プロジェクト最初期の指示内容を異例なほど直接的に把握できました」と、Check Point ResearchのグループマネージャーであるEli Smadja氏は私たちに語った。
分析によると、脅威アクターはSpec-Driven Development(SDD)を用いてプロジェクトの目標を定義し制約を設定したうえで、AIにアーキテクチャ、スプリント、標準を網羅するマルチチームの開発計画を生成させた。
出典:Check Point
その後、マルウェア開発者はそのドキュメントを、AI生成コードの実行用設計図として使用した。
生成されたドキュメントでは、16〜30週間・3チームによる取り組みが想定されているが、Check Pointが見つけたタイムスタンプやテスト成果物のタイムスタンプに基づくと、VoidLinkは1週間以内にすでに機能しており、2025年12月初旬までにコードは88,000行に達していた。
.jpg)
出典:Check Point
この発見を受けて、Check Pointはスプリント仕様と回収されたソースコードがほぼ完全に一致することを確認し、研究者らはワークフローの再現にも成功した。これにより、AIエージェントがVoidLinkのものと構造的に非常によく似たコードを生成できることが裏付けられた。
Check Pointは、コードベースの出自について「疑う余地はほとんどない」とし、VoidLinkをAIによって生成された高度なマルウェアの最初の文書化された例だと説明している。
研究者らは、VoidLinkが新時代の到来を示すものだと考えており、強い技術知識を持つ単独のマルウェア開発者が、これまでなら潤沢なリソースを持つチームでなければ達成できなかった成果を実現し得るとしている。
