VoidLinkは、AI支援型マルウェアがもはや研究室の実験ではなく、成熟した実用的なツールであることを示しています。かつてはフルチームが必要だった作業を、単一の開発者が数日で完成させることができます。
同時に、脅威アクターは自ホスト型モデルを慎重にテストし、エージェント型AI アーキテクチャを悪用し、企業の GenAI 使用をプローブして新しい攻撃対象として活用しており、データ漏洩はすでに大規模で顕著です。
著者の OPSEC ミスにより、スプリント計画、アーキテクチャ、および商用 AI 搭載 IDE で生成されたコードを示す詳細なアーティファクトが露出し、推定数ヶ月間のエンジニアリング努力を1週間以内に圧縮し、88,000行以上の機能的コードを生成しました。
重要なことに、バイナリ自体には AI エージェントが大部分の作業を行ったことを示す痕跡がなく、アナリストは VoidLink の品質とモジュラー設計だけに基づいて最初は協調的なチームだと考えていました。
Check Point Research の VoidLink 調査により、洗練されたクラウドファースト Linux フレームワーク(モジュラー C2、ルートキット、広範なポスト・エクスプロイテーション機能を備えた)が主として AI を使用して開発されたことが確認されています。
これは重要な先例を設定します:静的解析および動的解析で明らかな AI の「フィンガープリント」が示されない場合でも、高度なツールチェーンを評価する場合、AI 支援開発をデフォルト仮説として扱うべきです。
AI 支援型マルウェア
VoidLink はまた、方法論が生のモデルアクセスよりも重要であることを示しています。開発者は仕様駆動開発フローを使用し、マークダウン仕様は目標、モジュール、コーディング標準、および受け入れ基準を定義し、AI がスプリントごとにそれを実装しました。
マルウェアおよびハッキングの背景を持つユーザーは、wizardlm-33b-v1.0-uncensored および openhermes-2.5-mistral などの検閲なしモデル変種をインストールし、ランサムウェア、キーロガー、フィッシングキット、およびエクスプロイトコードを含む包括的な悪意のあるウィッシュリストを入力します。
これは、構造化されたプロジェクトファイルが自律的なコード生成およびテストをオーケストレーションするエージェントベースの IDE などの正当なエンジニアリングツールにおけるエージェント型 AI シフトを反映しています。
対照的に、最も目に見えるサイバー犯罪フォーラムアクティビティは、モデルに「ランサムウェア」または「ステルスローダー」スニペットを求める非構造化プロンプティングと、その結果をアドホックプロジェクトに貼り付けることが中心のままであり、これはノイズが多く、信頼できない出力をもたらす傾向があります。
より高度なパターンは、深いドメイン専門知識を規律のある、仕様駆動のエージェントワークフローと組み合わせ、はるかに少ない痕跡を残しますが、現在、数日でチームグレードのマルウェアを生成することが証明されています。
地下の議論全体で、アクターは率の制限、モデレーション、およびロギングから逃れるために、ますますフィルタなしのローカル LLM を探索し、「無制限の」モデルを実行するためのバリアントおよびハードウェアスタックを比較しています。
しかし、公開研究とフォーラムスレッドの両方が同じ結論に収束します:ハードウェア、チューニング、および評価への大きな投資なしで、自ホスト型モデルは頻繁に幻覚を起こし、堅牢な回避とエクスプロイト信頼性のために必要な品質基準を満たすことに失敗することが多いです。
RAPTOR などの研究フレームワーク(Claude Code を自律型セキュリティエージェントに変換するマークダウンスキルファイルを使用)でも、評価は商用フロンティアモデルが一貫してコンパイル可能なエクスプロイトコードを生成しますが、ローカルモデルは「しばしば破損した」ままです。
経験豊富なオペレーターは率直な評価でこれを繰り返し、ローカルデプロイメントを「生産的であるより負担が多い」と呼び、安全保障が厳しくなっているにもかかわらず、商用システムに頼り続けています。
ジェイルブレイクがエージェントアーキテクチャへシフト
従来のシングルプロンプトジェイルブレイクは、プロバイダーが安全層を強化し、容易に共有可能なペイロードを厳しく規制するにつれて、地歩を失っています。
RAPTOR 自体のデータは、先ほど説明した商用対自ホスト型の問題に関する追加のデータポイントを提供します。
これに対応して、攻撃者は会話トリックから、エージェント型ツール内の構成レイヤーの悪用にピボットしており、プロジェクトファイルを使用してAI エージェント ロールを定義し、制約と動作を指定して、セーフガードを無効化し、システムを静かに攻撃的なタスクに再向きします。
パッケージされた「Claude Code ジェイルブレイク」はこのトレンドの典型例です:チャットでプロンプトを注入する代わりに、CLAUDE.md プロジェクト構成を武装化し、エージェントをマルウェア作成者として再定義し、プロジェクト読み込み時に安全ルールを抑制します。
コスト推定値は、希望のパフォーマンスに応じて $5,000 ~ $50,000 の範囲で、トレーニング期間は 3~12 ヶ月、そして広範な投資なしでモデルが「多くの幻覚を起こす」ことをざっくばらんに認めています。
これは構造的に VoidLink のマークダウン駆動ワークフローおよび RAPTOR のスキル定義に似ています:3 つすべてで、実際の制御プレーンはモデルの重みではなく、エージェントが何を構築するか、およびそれがどのように動作するかを支配するドキュメンテーションレイヤーです。
開発支援に加えて、AI は攻撃的パイプラインの内部にライブ要素として現れ始めており、RAPTOR のようなフレームワークがモデルバックエンドで動作する自律エージェントを介して、静的解析、ファジング、エクスプロイト生成、および分類をオーケストレーションしています。
これらのアーキテクチャへの犯罪的関心と、それらのオープンソース利用可能性の組み合わせにより、同様のエージェント型ワークフローがプライベート攻撃的使用に対してますます適応されることが示唆されます。
防衛側では、企業 GenAI の採用が急速に拡大しており、それに伴って測定可能な漏洩問題が発生しています。
最近のクラウドと脅威レポートは、31 個のGenAI プロンプトごとにおよそ 1 つが高リスクの機密データに関与し、GenAI を使用している組織の約 90% が影響を受け、ユーザーごとのプロンプト量が着実に増加していることを示しています。
組織がより多くのツールおよびローカル GenAI インフラストラクチャを展開するにつれて、AI は生産性レイヤーと、敵および不注意なインサイダーが悪用できる露出した表面の両方になります。
翻訳元: https://gbhackers.com/ai-assisted-malware/
