Worm AI Agentic Menggunakan Open-Weight LLM pada Compute yang Dicuri Menyebar Lintas Linux/Windows/IoT Tanpa Platform AI Komersial — Kontrol Keamanan Terpusat Dilewati Secara Struktural

Para peneliti dari Universitas Toronto, Vector Institute, Universitas Cambridge, dan ServiceNow menerbitkan pre-print di arXiv (2606.03811) yang mendemonstrasikan, untuk pertama kalinya, worm komputer bertenaga AI yang berkelanjutan sendiri yang menghasilkan strategi serangan yang disesuaikan pada saat runtime untuk setiap target yang ditemuinya. Tidak seperti worm tradisional dengan kode exploit tetap, malware ini secara parasit mengeksekusi open-weight LLM pada host yang sudah dikompromikan untuk mempertahankan rantai penalaran dan menghasilkan logika serangan spesifik target. Worm ini disebarkan dalam jaringan virtual terkontrol yang mencakup perangkat Linux, Windows, dan IoT dan berhasil menyebar dengan mengeksploitasi kerentanan jaringan korporat umum dunia nyata. Karena worm berjalan pada compute yang dicuri, biaya marginal penyerang per infeksi adalah nol — menciptakan ancaman ekonomi asimetris bagi para pembela.

Worm menjalankan open-weight LLM pada setiap mesin yang baru dikompromikan untuk bernalar tentang target berikutnya, menyesuaikan strategi serangannya dengan kondisi spesifik host, dan mensintesis logika serangan baru secara real-time. Karena tidak memerlukan platform AI komersial — dan oleh karena itu tidak ada kunci API, batas laju, atau filter keamanan vendor — kontrol keamanan terpusat (penolakan layanan, moderasi konten, pembatasan laju) secara struktural tidak relevan dengan model ancaman. Para peneliti mengungkap ancaman ini kepada berbagai entitas Pemerintah Kanada sebelum publikasi dan sengaja menahan rincian implementasi operasional.

Jaringan perusahaan apa pun dengan lingkungan OS campuran (Linux, Windows, IoT) yang mengandalkan patching set kerentanan yang diketahui untuk menghentikan penyebaran worm. Playbook penahan worm tradisional (patch CVE yang dieksploitasi) tidak cukup karena kelas worm ini bernalar tentang target secara adaptif dan dapat mengeksploitasi set kerentanan yang berubah. Lingkungan yang menjalankan model open-weight secara internal untuk beban kerja AI dapat mengekspos compute tambahan untuk penggunaan worm.

Tidak ada patch untuk kelas ancaman ini — ini adalah perubahan kemampuan fundamental. Kontrol yang direkomendasikan: (1) segmentasi jaringan untuk membatasi pergerakan lateral antara lingkungan OS yang heterogen; (2) deteksi anomali berbasis host yang disesuaikan untuk mendeteksi beban kerja inferensi LLM yang tidak biasa di server yang tidak ditunjuk untuk compute AI; (3) batasi egress internet dan blokir download bobot model open-weight dari host kelas pekerja; (4) lakukan latihan purple-team yang mengasumsikan penyebaran worm tidak memerlukan tanda tangan exploit tetap. Para peneliti akan membuka source lingkungan pengujian (bukan implementasi worm) setelah publikasi yang ditinjau sejawat.