多伦多大学、Vector Institute、剑桥大学以及 ServiceNow 的研究人员展示了一种由 AI 驱动的蠕虫,它能够生成攻击策略,并在网络中自主传播。该概念验证恶意软件在被感染的机器上运行,使用开源权重模型而非云服务,这标志着与此前由 AI 驱动的威胁有所不同。研究人员认为,这项工作表明由 AI 驱动的网络攻击已经超越了理论:该蠕虫能够识别漏洞,设计针对性的攻击路径,攻陷系统,并在适应不同目标时实现自身复制。
研究论文将该团队所描述的内容视为相对于传统蠕虫的根本性转变。“我们必须为自主生成式对手做好准备,”研究人员写道。“传播无需人类操作者的恶意软件系统,并非由固定的漏洞利用代码定义,而是由对目标进行推理、根据观测结果进行适应、并在实时中合成攻击逻辑的能力定义。”
计算机蠕虫是能够自我复制的恶意软件,会在存在漏洞的网络中自动传播。历史上的蠕虫爆发,包括 2000 年的 ILOVEYOU 和 2017 年的 WannaCry,感染了全球数百万台计算机,破坏关键服务并造成数十亿美元的损失。更近一些,Shai-Hulud 恶意软件展示了自我传播的攻击如何在线扩散,感染被包括 OpenAI 和 Mistral 在内的多家大公司所使用的软件。
研究人员在隔离网络环境中测试 AI 蠕虫
团队在一个隔离的虚拟网络中测试了该蠕虫,该网络包含 33 个 Linux、Windows 和 IoT 系统,并预置了常见漏洞。在 15 次实验中,蠕虫平均识别出 31.3 个漏洞,成功攻陷 23.1 台主机,并在 7 天的自主运行期间扩散到大约 20 台机器。
在部分测试中,该恶意软件达到了 7 代自我复制。研究人员发现,系统能够通过在运行时摄取新发布的安全通告来利用在模型训练截止后披露的漏洞,从而使其纳入模型原始训练数据中并不包含的信息。
AI 蠕虫无需云端基础设施运行
根据研究,这种由 AI 驱动的蠕虫区别于早期版本之处在于:它能够借助大型语言模型,实时识别漏洞并生成攻击策略,从而适应不同目标,而不是依赖一组固定的漏洞利用。
研究人员写道:“像 WannaCry 这样的传统蠕虫会利用预先确定的漏洞,而通过对这些漏洞进行打补丁,其传播可以被停止。”“在这里,我们展示了人工智能代理带来了从根本上全新的威胁:一种为每个遇到的目标生成定制攻击策略的蠕虫。”
与许多 AI 应用不同,该蠕虫不依赖访问 AI 云服务。恶意软件并非依赖来自 AWS、Microsoft Azure 或 Google Cloud 等提供商的云端基础设施,而是直接在被攻陷的机器上运行 AI 模型。随着其传播,感染的系统实际上就成为了它的计算基础设施的一部分。
研究团队刻意回避技术细节以防止被滥用
尽管测试在受控环境中进行,作者也承认该工作具有双重用途性质,并有意隐匿部分技术细节,以降低被滥用的风险。
研究人员表示:“在发布这份预印本之前,我们对手稿进行了编辑,以确保我们方法的呈现方式在满足社区研究这一新型威胁所需的细节深度的同时,也控制了恶意行为者使用我们的方法来创建恶意软件的风险。”
研究人员说,该项目旨在更好地理解自适应计算机蠕虫带来的风险,并提供证据说明由 AI 支持的网络能力已经推进到了多大程度。“因此,应对这一威胁将需要研究、安全、产业和政策领域的协同行动:评估框架用于测试在承载层级的能力,检测系统需针对自主代理的行为特征进行调优,以及能够考虑开源权重推理去中心化特性的监管措施,”他们写道。
常见问题
研究人员在 AI 蠕虫研究中展示了什么?
来自多伦多大学、Vector Institute、剑桥大学以及 ServiceNow 的研究人员展示了一种概念验证的由 AI 驱动的蠕虫:它能够识别漏洞,生成攻击策略,并在网络中自主传播,同时在适应不同目标时调整其策略。
AI 蠕虫在测试中表现如何?
在一个包含 33 台系统的隔离虚拟网络中进行的 15 次实验里,该蠕虫平均识别出 31.3 个漏洞,成功攻陷 23.1 台主机,并在 7 天的自主运行期间扩散到大约 20 台机器。在部分测试中,恶意软件达到了 7 代自我复制。
为什么研究团队回避技术细节?
作者承认该工作具有双重用途性质,并有意隐匿部分技术细节,以降低恶意行为者使用他们的方法创建恶意软件的风险,同时仍向社区提供足够的深度以研究这一新型威胁。
