目錄
多倫多大學、Vector Institute、劍橋大學與 ServiceNow 的研究團隊發表概念驗證論文,展示一種 AI 驅動的電腦蠕蟲,可識別漏洞、即時生成攻擊策略、入侵系統並在網路間自主複製,且能根據不同目標動態調整戰術。研究人員指出,這類惡意程式不依賴固定漏洞利用程式碼,而是用大型語言模型即時推理攻擊邏輯,意味傳統靠補丁阻止蠕蟲擴散的防禦模式將失效。
運行於開放權重模型,不依賴雲端
研究團隊指出,本次概念驗證蠕蟲與過去 AI 攻擊工具最大差異在於:惡意程式直接在受感染主機上運行開放權重(open-weight)模型,不需連線至雲端 AI 服務。這代表攻擊鏈完整本地化,防禦方無法靠監控對外 API 連線偵測異常。研究人員寫道:「我們必須準備好面對自主性生成式對手—這類惡意系統無需人類操作者驅動,定義它的不再是固定的漏洞利用程式碼,而是即時推理目標、適應觀察、合成攻擊邏輯的能力。」
傳統補丁防禦失效,需重新評估防禦模式
電腦蠕蟲是一種可自我複製、在脆弱網路間自動傳播的惡意程式。歷史上 ILOVEYOU 蠕蟲(2000)與 WannaCry 勒索蠕蟲(2017)曾感染全球數百萬臺電腦、造成關鍵服務中斷與數十億美元損失。研究人員強調,傳統蠕蟲如 WannaCry 利用預先設定的漏洞,防禦方只要修補該漏洞即可阻止擴散;AI 驅動的蠕蟲則可即時依目標環境生成新攻擊路徑,補丁無法跟上。
研究團隊也提及近期 Shai-Hulud 惡意程式事件—該蠕蟲展示了自我傳播攻擊如何在網路上擴散,曾感染 OpenAI 與 Mistral 使用的軟體。論文作者認為,AI 驅動的網路攻擊已從理論進入實證階段,產業方需重新評估針對自適應威脅的防禦設計。
