- 23,697
- 46
- 8 Ноя 2022
Обнаружен первый случай масштабного использования ИИ-агентов для создания сложного модульного вируса.
Специалисты Check Point в новом отчете раскрыли подробности о VoidLink – вредоносной платформе, которая настолько зрелая и сложная, что её разработка, судя по найденным следам, велась почти полностью с помощью ИИ и, вероятно, под руководством одного человека.
Раньше «улики» использования ИИ в вирусах обычно выглядели скромнее. Речь шла либо о новичках, которые генерировали сырой код, либо о случаях, когда результат почти повторял функции уже известных опенсорсных инструментов. VoidLink, по оценке специалистов, стал первым хорошо задокументированным примером, где ИИ применили как ускоритель для действительно продвинутой разработки, с архитектурой, модулями и быстрыми итерациями как у полноценной команды.
Когда аналитики впервые наткнулись на VoidLink, их удивил уровень продуманности. В описании фигурируют технологии вроде eBPF, руткитов на базе LKM , отдельные модули для разведки облачной инфраструктуры и действий в контейнерных средах после взлома. По мере наблюдения проект менялся почти на глазах. Он быстро дорос от «рабочей сборки» до модульного фреймворка с выстроенным управлением и инфраструктурой командных серверов.
Ключевым поворотом стали ошибки самого разработчика. Из-за провалов в OPSEC наружу утекли внутренние материалы — документация, фрагменты исходников и компоненты проекта. Среди них оказался детальный план работ на десятки недель, расписанный как будто для трёх разных команд с отдельными задачами, спринтами и правилами кодинга. Снаружи это выглядело как история про хорошо финансируемую группу. Но по факту темпы развития, которые наблюдали исследователи, не совпадали с этим «долгосрочным» планом.
Дальше стало ещё интереснее. Артефакты указывали, что сам план и спецификации были сгенерированы языковой моделью и затем использованы как «чертёж» для разработки. В отчёт попали и следы стартовой постановки задачи, в том числе инструкции на китайском языке, которые оставил ИИ-помощник в среде TRAE, ориентированной на работу с агентными моделями. По версии исследователей, такой подход позволил довести идею до первого работоспособного импланта меньше чем за неделю. В качестве одной из контрольных точек упоминается артефакт от 4 декабря 2025 года. На тот момент VoidLink уже был функциональным, а объём проекта, по их данным, превысил 88 000 строк кода, и образец попал в VirusTotal .
Отдельно Check Point описывает метод, который, судя по всему, и дал такой разгон. Вместо того чтобы просить ИИ «написать код», разработчик сначала заставил модель подготовить подробные спецификации и план реализации по этапам, со списками требований и критериями приёмки. Затем эти документы использовались как инструкция к сборке, спринт за спринтом, с тестированием и быстрыми исправлениями. Аналитики утверждают, что воспроизвели похожий процесс и увидели, как при следовании этим спецификациям модель начинает выдавать код, похожий по структуре на оригинал.
ИИ снижает порог не только для простых атак, но и для сложных, которые раньше почти всегда требовали команды, времени и ресурсов. VoidLink, по мнению исследователей, показывает, как один опытный человек может быстро проектировать, собирать и дорабатывать вредоносную платформу , и это делает рынок угроз заметно опаснее. А самый неприятный вопрос остаётся без ответа. Этот кейс удалось раскрыть только потому, что разработчик оставил слишком много следов. Сколько таких проектов уже существует, но их история просто не утекла наружу.
Специалисты Check Point в новом отчете раскрыли подробности о VoidLink – вредоносной платформе, которая настолько зрелая и сложная, что её разработка, судя по найденным следам, велась почти полностью с помощью ИИ и, вероятно, под руководством одного человека.
Раньше «улики» использования ИИ в вирусах обычно выглядели скромнее. Речь шла либо о новичках, которые генерировали сырой код, либо о случаях, когда результат почти повторял функции уже известных опенсорсных инструментов. VoidLink, по оценке специалистов, стал первым хорошо задокументированным примером, где ИИ применили как ускоритель для действительно продвинутой разработки, с архитектурой, модулями и быстрыми итерациями как у полноценной команды.
Когда аналитики впервые наткнулись на VoidLink, их удивил уровень продуманности. В описании фигурируют технологии вроде eBPF, руткитов на базе LKM , отдельные модули для разведки облачной инфраструктуры и действий в контейнерных средах после взлома. По мере наблюдения проект менялся почти на глазах. Он быстро дорос от «рабочей сборки» до модульного фреймворка с выстроенным управлением и инфраструктурой командных серверов.
Ключевым поворотом стали ошибки самого разработчика. Из-за провалов в OPSEC наружу утекли внутренние материалы — документация, фрагменты исходников и компоненты проекта. Среди них оказался детальный план работ на десятки недель, расписанный как будто для трёх разных команд с отдельными задачами, спринтами и правилами кодинга. Снаружи это выглядело как история про хорошо финансируемую группу. Но по факту темпы развития, которые наблюдали исследователи, не совпадали с этим «долгосрочным» планом.
Дальше стало ещё интереснее. Артефакты указывали, что сам план и спецификации были сгенерированы языковой моделью и затем использованы как «чертёж» для разработки. В отчёт попали и следы стартовой постановки задачи, в том числе инструкции на китайском языке, которые оставил ИИ-помощник в среде TRAE, ориентированной на работу с агентными моделями. По версии исследователей, такой подход позволил довести идею до первого работоспособного импланта меньше чем за неделю. В качестве одной из контрольных точек упоминается артефакт от 4 декабря 2025 года. На тот момент VoidLink уже был функциональным, а объём проекта, по их данным, превысил 88 000 строк кода, и образец попал в VirusTotal .
Отдельно Check Point описывает метод, который, судя по всему, и дал такой разгон. Вместо того чтобы просить ИИ «написать код», разработчик сначала заставил модель подготовить подробные спецификации и план реализации по этапам, со списками требований и критериями приёмки. Затем эти документы использовались как инструкция к сборке, спринт за спринтом, с тестированием и быстрыми исправлениями. Аналитики утверждают, что воспроизвели похожий процесс и увидели, как при следовании этим спецификациям модель начинает выдавать код, похожий по структуре на оригинал.
ИИ снижает порог не только для простых атак, но и для сложных, которые раньше почти всегда требовали команды, времени и ресурсов. VoidLink, по мнению исследователей, показывает, как один опытный человек может быстро проектировать, собирать и дорабатывать вредоносную платформу , и это делает рынок угроз заметно опаснее. А самый неприятный вопрос остаётся без ответа. Этот кейс удалось раскрыть только потому, что разработчик оставил слишком много следов. Сколько таких проектов уже существует, но их история просто не утекла наружу.
- Источник новости
- www.securitylab.ru
