Image by Xavier Cee, from Unsplash
Новый вредоносный код использует GPT-4 для генерации атак в реальном времени
Время для прочтения: 2 мин.
Последние обновления: Sep 23, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
Исследователи в области безопасности обнаружили первые свидетельства вредоносного ПО, которое использует большие языковые модели (LLM) для генерации вредоносных действий на лету.
Спешите? Вот краткие факты:
- Исследователи обнаружили вредоносное ПО, использующее LLM для генерации кода во время выполнения.
- Вредоносное ПО, получившее название MalTerminal, использовало GPT-4 для создания вымогательского ПО и оболочек.
- Традиционные антивирусные инструменты испытывают трудности в обнаружении вредоносного кода, генерируемого в режиме реального времени.
Результаты исследования были представлены на конференции LABScon 2025 в докладе под названием «Активное вредоносное ПО, использующее LLM, в реальном мире.»
Согласно SentinelLABS, «Вредоносное ПО, использующее LLM, представляет новые вызовы для обнаружения и поиска угроз, поскольку злонамеренная логика может генерироваться во время выполнения, а не встраиваться в код».
Эти угрозы работают через методы, основанные на выполнении, что делает их невозможными для обнаружения стандартными антивирусными системами, так как вредоносный код не существует до момента выполнения.
Команда идентифицировала то, что, по их мнению, может быть самым ранним случаем такого рода вредоносного ПО, которое они назвали «MalTerminal». Система, основанная на Python, использует GPT-4 API от OpenAI для создания атак программ-вымогателей и атак обратного оболочка.
Исследователи документировали дополнительные агрессивные инструменты, включая инъекторы уязвимостей и помощники для фишинга, чтобы показать, как злоумышленники экспериментируют с LLMs.
«На первый взгляд, вредоносное ПО, которое передает свою злонамеренную функциональность LLM, способному генерировать код на лету, выглядит как кошмар инженера-детектива», — написали исследователи.
Другие примеры включают ‘PromptLock’, который впервые появился в качестве рансомвара на основе AI в 2023 году, и PROMPTSTEAL — вредоносное ПО, связанное с русской группой APT28. Исследователи объясняют, что PROMPTSTEAL встроил 284 ключа API HuggingFace и использовал LLM для создания системных команд по краже файлов.
Исследователи обнаружили, что, несмотря на свою сложность, вредоносное ПО с поддержкой LLM должно включать «встроенные ключи API и запросы», оставляя следы, которые защитники могут отслеживать. Они написали: «Это делает вредоносное ПО с поддержкой LLM чем-то вроде любопытства: инструмент, который уникален по своим способностям, адаптивен, и в то же время хрупок».
Пока что использование вредоносного ПО с поддержкой LLM кажется редким и в основном экспериментальным. Но эксперты предупреждают, что по мере того, как противники совершенствуют свои методы, эти инструменты могут стать серьезной угрозой кибербезопасности.
Предыдущая история
Последние статьи 
