Исследователи компании ESET сообщили о новом образце вредоносного ПО под названием PromptLock, который впервые напрямую встраивает крупную языковую модель в цикл атаки.
О том, что ИИ используется для защиты от кибератак IT-World писал не раз. Теперь же зафиксирована первое заражение с использованием нейросетей. По данным ESET, программа заражает Windows, Linux и macOS и при выполнении подключается к свежей открытой модели OpenAI gpt-oss-20b, выпущенной в начале августа. Вирус отправляет модели фиксированные текстовые инструкции, а та в ответ генерирует исполняемые скрипты для инвентаризации и выбора файлов, а также их последующего шифрования. Ключевой момент в том, что вредоносная логика не «прошита» заранее: полезная нагрузка поставляется динамически самой моделью и, как отмечают исследователи, без дополнительной адаптации запускается в разных операционных системах, что повышает кроссплатформенность и потенциально усложняет сигнатурный детект. При этом на текущем этапе PromptLock выглядит как прототип: применяемые алгоритмы шифрования примитивны, часть функций не реализована или работает нестабильно, массовых заражений не зафиксировано. Любопытная деталь отчета — в одном из промптов обнаружен биткоин‑адрес с отсылкой к Сатоси Накамото; вероятнее всего, это декоративная заглушка, но сам факт использования открытой ИИ‑модели в живой атаке показывает, как быстро подобные технологии становятся инструментом не только разработчиков, но и киберпреступников.
Случай с PromptLock иллюстрирует сдвиг от «ИИ как ассистента при разработке» к «ИИ в контуре атаки» (LLM‑in‑the‑loop), когда генерация и модификация вредоносной логики происходят на лету, а зависимость от закрытых коммерческих API уменьшается. Ставка на открытую модель снижает риск блокировок по политикам безопасности провайдеров и в перспективе упрощает перенос в изолированные среды при локальном разворачивании. Унификация достигается на уровне инструкций: вместо поддержки отдельных веток под Windows, Linux и macOS злоумышленники делегируют кроссплатформенность самой модели.
На фоне этого кейса вписывается в более широкий контекст использования ИИ в кибератаках. Начиная с 2023 года на подпольных рынках фигурируют проекты вроде WormGPT и FraudGPT — перепакованные языковые модели, предназначенные для генерации убедительных фишинговых писем, сценариев социальной инженерии и мошеннической коммуникации, что снижает порог входа для новичков. Исследователи HYAS в 2023 году продемонстрировали BlackMamba — прототип кейлоггера, который при каждом запуске запрашивал у LLM новые варианты кода, усложняя детектирование по сигнатурам и создавая полиморфизм «на лету». Академические работы 2024 года показали, как уязвимости типа prompt injection способны порождать «червей» в экосистемах с агентами‑интеграторами: вредоносные инструкции перетекают через почту, документы и мессенджеры и заставляют ИИ‑системы автоматически воспроизводить и распространять атаку. В совместном отчете OpenAI и Microsoft (февраль 2024) отмечалось, что отдельные государственные группы из Китая, Ирана, КНДР и России уже используют LLM для перевода, резюмирования открытых источников, черновиков фишинга и базовой помощи с кодом — не создавая принципиально новых возможностей, но существенно ускоряя подготовку операций. Параллельно растет применение генеративных медиа: голосовые и видеодипфейки используются для имитации «звонков от руководства» и поддельных видеовстреч; в 2024 году подобные схемы приводили к многомиллионным хищениям без классического вредоносного ПО, но с критической ролью ИИ.
Для защитников это означает необходимость смещать фокус на наблюдаемость поведенческих цепочек и контроль каналов связи с внешними моделями. Компаниям стоит ограничить неконтролируемый доступ к LLM через egress‑политики и allowlist доверенных AI‑эндпоинтов, отслеживать нетипичные исходящие соединения к хостам моделей, ужесточать политики исполнения скриптов (например, AppLocker/WDAC в Windows и ограничение интерпретаторов в Linux/macOS), полагаться на EDR с поведенческими правилами, фиксирующими последовательности «сетевой запрос — запись скрипта — немедленный запуск — массовое обращение к файлам», а также поддерживать регулярные оффлайн‑бэкапы и канарейские файлы для раннего обнаружения шифрования. При построении собственных AI‑агентов рекомендуется фильтровать и санитизировать входящие промпты, запрещать небезопасные инструменты и изолировать доступ к критичным ресурсам. Не теряет актуальности и обучение сотрудников, поскольку фишинг и дипфейки остаются основными точками входа: процедуры дополнительной верификации и «правило четырех глаз» помогают сдерживать риск.
Даже если PromptLock так и останется лабораторным экспериментом, направление развития очевидно: динамическая ИИ‑генерация полезной нагрузки, полиморфизм на стороне жертвы, контекстная адаптация под среду исполнения и обход ограничений поставщиков за счет открытых моделей. В ближайшей перспективе ключевым станет не только качество сигнатур, но и видимость всей цепочки поведения и управление коммуникацией систем с внешними ИИ‑сервисами.