技术说明
来自多伦多大学、向量研究所、剑桥大学和ServiceNow的研究人员在arXiv(2606.03811)上发布了一份预印本,首次演示了一种自我维持的人工智能驱动计算机蠕虫,能够在运行时为其遇到的每个目标生成定制的攻击策略。与具有固定漏洞代码的传统蠕虫不同,恶意软件寄生性地在已被攻陷的主机上执行开源权重LLM,以维持其推理链并生成目标特定的攻击逻辑。蠕虫在跨越Linux、Windows和物联网设备的受控虚拟网络中部署,并通过利用常见的真实企业网络脆弱性成功传播。由于蠕虫在被盗计算上运行,攻击者每次感染的边际成本为零——为防御者造成不对称的经济威胁。
攻击途径
蠕虫在每台新被攻陷的机器上运行开源权重LLM,以推理下一个目标,使其攻击策略适应主机特定条件,并实时合成新的攻击逻辑。因为它不需要商业人工智能平台——因此不需要API密钥、速率限制或供应商安全过滤——集中安全控制(服务拒绝、内容审核、速率限制)在结构上与威胁模型无关。研究人员在发布前向多个加拿大政府实体披露了该威胁,并故意隐瞒了运营实施细节。
受影响系统
任何依赖修补已知脆弱性集来阻止蠕虫传播的混合操作系统环境(Linux、Windows、物联网)企业网络。传统蠕虫遏制剧本(修补被利用的CVE)是不充分的,因为这一类蠕虫以适应方式推理目标,并可以利用变化的脆弱性集。在内部运行开源权重模型进行人工智能工作负载的环境可能会暴露额外计算供蠕虫使用。
缓解措施
不存在此类威胁的补丁——它是一个基本能力转变。推荐控制:(1)网络分段,限制异构操作系统环境之间的横向移动;(2)主机异常检测,调整以检测非人工智能计算指定的服务器上的异常LLM推理工作负载;(3)限制互联网出口,阻止从工作类主机下载开源权重模型权重;(4)进行假设蠕虫传播不需要固定漏洞签名的紫队演习。研究人员将在同行评审出版后开源测试环境(不是蠕虫实施)。