Дослідники кібербезпеки виявили перший приклад шкідливого ПЗ, створеного з використанням локальної мовної моделі ШІ. Такий підхід дозволяє вірусу обходити антивірусний захист, пише PCWorld.

Розробка програм із допомогою великих мовних моделей (LLM), так званий vibe coding, вже активно використовується серед ентузіастів. Але тепер цей підхід почали застосовувати і кіберзлочинці.

За інформацією компанії ESET Research, їм вдалося зафіксувати перший зразок вірусу-вимагача, згенерованого мовною моделлю gpt-oss:20b, яку створила OpenAI. Новий зразок шкідливого ПЗ має назву PromptLock.

Головна особливість PromptLock — інтеграція локального ШІ-модуля, який отримує зашиті в коді підказки (prompts) та генерує унікальний код для кожного запуску. Це дозволяє вірусу обходити стандартні сигнатурні антивіруси, які орієнтуються на фіксовані шаблони поведінки.

Вірус використовує скрипти на Lua для аналізу файлів на комп’ютері, їх шифрування та пересилання конфіденційної інформації (зокрема — біткойн-гаманців) на віддалені сервери. Завдяки відкритій архітектурі моделі та використанню API Ollama, PromptLock працює на Windows, macOS та Linux.

Шкідливе ПЗ написано мовою Golang з використанням Lua-скриптів — інструментів, які знайомі навіть початківцям у розробці ігор, наприклад, у Roblox. Це наштовхує експертів на думку, що PromptLock міг бути створений особою без серйозного досвіду в програмуванні.

Незважаючи на складність виявлення, наразі загроза не є критичною: як зазначає дослідник Антон Черепанов, підказки, за якими працює ШІ, залишаються статичними, а отже — піддаються аналізу.