技術的な説明
トロント大学、ベクトルインスティテュート、ケンブリッジ大学、ServiceNow の研究者らが arXiv (2606.03811) にプレプリントを公開し、遭遇した各ターゲット固有の攻撃戦略を実行時に生成する自己持続型のAI駆動型コンピュータワームを初めて実証した。固定されたエクスプロイトコードを持つ従来のワームとは異なり、このマルウェアは既に侵害されたホスト上でオープンウェイトLLMを寄生的に実行して推論チェーンを維持し、ターゲット固有の攻撃ロジックを生成する。このワームは Linux、Windows、IoT デバイスにまたがる制御された仮想ネットワークにデプロイされ、一般的な実世界の企業ネットワーク脆弱性を悪用することで正常に拡散した。ワームは盗まれた計算リソース上で実行されるため、攻撃者の感染あたりの限界費用はゼロであり、防御者にとって非対称的な経済的脅威を生じさせる。
攻撃経路
このワームは新たに侵害されたマシンごとにオープンウェイトLLMを実行して次のターゲットについて推論し、ホスト固有の条件に攻撃戦略を適応させ、リアルタイムで新しい攻撃ロジックを合成する。商用AI プラットフォームを必要としないため — したがって API キー、レート制限、またはベンダーセーフティフィルターが不要であり — 中央集約型セーフティコントロール (サービス拒否、コンテンツモデレーション、レート制限) は脅威モデルに対して構造的に無関係である。研究者は公開前に脅威をカナダ政府の複数の機関に開示し、意図的に運用実装の詳細を明かさなかった。
影響を受けるシステム
Linux、Windows、IoT を含む混合OS環境を持ち、既知の脆弱性セットへのパッチ適用でワーム拡散を防止することに依存する企業ネットワーク。従来のワーム封じ込めプレイブック (悪用されたCVEにパッチを適用) では不十分である。なぜなら、このクラスのワームはターゲットについて適応的に推論でき、変化する脆弱性セットを悪用できるためである。AI ワークロード用にオープンウェイトモデルを社内で実行している環境は、ワーム使用のための追加の計算リソースを公開する可能性がある。
緩和策
このクラスの脅威に対するパッチは存在しない — これは根本的な能力の転換である。推奨コントロール: (1) 異種OS環境間のラテラルムーブメント を制限するためのネットワークセグメンテーション; (2) AI計算用に指定されていないサーバー上の異常なLLM推論ワークロードを検出するよう調整されたホストベースの異常検知; (3) インターネットエグレスを制限し、ワーカークラスホストからのオープンウェイトモデルウェイトのダウンロードをブロック; (4) ワーム拡散が固定されたエクスプロイトシグネチャを必要としないと仮定するパープルチームエクササイズを実施。研究者はピアレビュー済み出版時にテスト環境 (ワーム実装は除く) をオープンソース化する予定である。