技術的な説明
トロント大学、ベクトル研究所、ケンブリッジ大学、ServiceNowの研究者らは、arXiv (2606.03811) にプレプリントを公開し、遭遇する各ターゲットに対して実行時にカスタマイズされた攻撃戦略を生成する自律型のAI駆動型コンピュータワームを初めて実証しました。固定されたエクスプロイトコードを持つ従来のワームとは異なり、このマルウェアはすでに侵害されたホスト上でオープンウェイトLLMを寄生的に実行して、推論チェーンを維持し、ターゲット固有の攻撃ロジックを生成します。このワームはLinux、Windows、IoTデバイスにまたがる制御された仮想ネットワーク内でデプロイされ、一般的な現実の企業ネットワーク脆弱性を悪用することで正常に拡散しました。ワームは盗まれたコンピュート上で実行されるため、攻撃者の感染あたりの限界費用はゼロになり、防御者にとって非対称経済脅威を生み出します。
攻撃経路
ワームは新たに侵害された各マシン上でオープンウェイトLLMを実行して次のターゲットについて推論し、ホスト固有の条件に攻撃戦略を適応させ、リアルタイムで新しい攻撃ロジックを合成します。商用AIプラットフォームが不要であるため、APIキー、レート制限、またはベンダーセーフティフィルターの必要がなく、集中型セーフティコントロール(サービス拒否、コンテンツモデレーション、レート制限)は脅威モデルに対して構造的に無関係です。研究者は公開前にカナダ政府の複数の機関に脅威を開示し、意図的に操作実装の詳細を保留しました。
影響を受けるシステム
Linux、Windows、IoTを含む混合OS環境を備えた企業ネットワークで、既知の脆弱性セットへのパッチ適用によってワーム拡散を防止することに依存しています。従来のワーム封じ込めプレイブック(悪用されたCVEにパッチを当てる)は不十分です。なぜなら、このクラスのワームはターゲットについて適応的に推論でき、変化する脆弱性セットを悪用できるからです。AI作業負荷のためにオープンウェイトモデルを内部で実行している環境は、ワーム使用のための追加コンピュートを公開する可能性があります。
緩和策
このクラスの脅威に対するパッチは存在しません。それは基本的な能力の転換です。推奨コントロール:(1)異種OS環境間のラテラルムーブメント制限のためのネットワークセグメンテーション、(2)AI計算用に指定されていないサーバー上の異常なLLM推論ワークロードを検出するためにチューニングされたホストベースの異常検出、(3)インターネット出力を制限し、ワーカークラスのホストからのオープンウェイトモデルウェイトのダウンロードをブロック、(4)ワーム拡散が固定されたエクスプロイト署名を必要としないと仮定するパープルチーム演習の実施。研究者はピアレビューされた公開時にテスト環境(ワーム実装ではない)をオープンソース化します。