研究人员近期演示了一种由大模型驱动的恶意软件蠕虫。它可以在网络中自行寻找漏洞、制定攻击路径、入侵主机，并继续复制传播。研究团队认为，这表明 AI 驱动的网络攻击已从概念验证走向更接近现实威胁的阶段。

　　 多家机构联合发布研究

　　 这项研究来自多伦多大学、Vector Institute、剑桥大学和 ServiceNow。论文描述的原型系统，能够根据不同目标调整策略，而不是像传统蠕虫那样依赖预先写死的漏洞利用代码。

　　 研究人员称，传统蠕虫通常围绕少数已知漏洞传播，例如 WannaCry 一类攻击，一旦相关漏洞被修补，扩散就会明显受限。相比之下，这一原型可借助大语言模型分析目标环境，再临时生成更贴合当前系统的攻击方案。

　　 在 33 台设备环境中测试

　　 研究团队在一个隔离的虚拟网络中进行了测试，环境包含 33 台 Linux、Windows 和 IoT 设备，并预置了常见漏洞。15 轮实验结果显示，这个蠕虫平均可识别 31.3 个漏洞，成功攻陷 23.1 台主机，并在 7 天自主运行期间传播至约 20 台设备。

　　 部分测试中，该恶意软件实现了 7 代自我复制。研究还提到，这一系统与不少依赖云端模型的 AI 应用不同，它不需要持续连接外部 AI 云服务。

　　 测试环境包含 33 台不同类型设备 15 轮实验平均识别 31.3 个漏洞 平均攻陷 23.1 台主机并传播至约 20 台 受感染主机可直接运行模型

　　 论文称，这一原型没有依赖 AWS、微软 Azure 或 Google Cloud 等云基础设施，而是把开源权重模型直接运行在被攻陷的机器上。随着传播范围扩大，受感染设备本身也会成为其计算资源的一部分。

　　 研究人员还表示，这一系统可以在运行时读取新发布的安全通告，从而利用模型训练截止时间之后披露的漏洞信息。这意味着它不必完全受限于训练数据，而能根据最新公开信息更新攻击思路。

　　 研究团队删减了部分技术细节

　　 作者表示，考虑到这类研究具有双重用途，论文在公开前删除了部分技术实现细节，以降低被恶意滥用的风险。不过，团队仍希望借此说明，自主式生成攻击者已成为需要提前应对的安全问题。

　　 研究认为，后续防御重点可能包括三方面：针对 AI 代理能力建立评估方法，开发识别自主行为特征的检测系统，以及针对开源权重模型的分散部署方式完善监管与治理措施。