Cercetătorii în securitate cibernetică au descoperit variante alarmante ale notoriului instrument malițios WormGPT, care folosesc acum modele comerciale de tip large language model (LLM) dezvoltate de xAI și Mistral AI pentru a alimenta atacuri cibernetice sofisticate.
Echipa de intelligence de la Cato Networks a identificat două variante WormGPT neanunțate anterior, vândute pe forumuri subterane precum BreachForums. Aceste variante, dezvoltate de utilizatori cunoscuți sub pseudonimele „xzin0vich” și „keanu”, au apărut în octombrie 2024 și februarie 2025. Spre deosebire de versiunea originală WormGPT din 2023, care folosea modelul open-source GPT-J, aceste noi iterații marchează o schimbare fundamentală de abordare.
În loc să construiască modele AI personalizate de la zero, infractorii cibernetici au creat „wrapper”-e sofisticate în jurul unor sisteme comerciale existente. Prin tehnici de jailbreaking și manipularea prompturilor de sistem, aceștia au reușit să ocolească măsurile de siguranță din modelele Grok (Elon Musk) și Mixtral (Mistral), forțându-le să genereze conținut malițios fără constrângeri etice.
„Aceste noi iterații ale WormGPT nu sunt modele create de la zero, ci rezultatul adaptării abile a unor LLM-uri existente de către actorii de amenințare”, a explicat Vitaly Simonovich, cercetător la Cato Networks. Această abordare reduce semnificativ barierele de intrare pentru infractorii cibernetici, deoarece adaptarea unui API existent este mult mai puțin complexă decât antrenarea unui LLM malițios de la zero.
Ambele variante generează cu succes conținut dăunător la cerere, inclusiv emailuri de phishing convingătoare și scripturi PowerShell concepute pentru a fura credențiale de pe sistemele Windows 11. Acestea sunt disponibile prin chatboți Telegram, pe bază de abonament, cu prețuri între 8 și 100 de dolari pe lună.
Evoluția WormGPT semnalează o tendință mai largă în criminalitatea cibernetică, în care actorii de amenințare exploatează din ce în ce mai mult servicii AI legitime în scopuri malițioase, prin tehnici sofisticate de prompt engineering. Experții în securitate recomandă implementarea unor strategii defensive cuprinzătoare, inclusiv sisteme avansate de detecție a amenințărilor bazate pe analiză comportamentală, controale de acces mai stricte și programe de instruire în securitate care să includă simulări de phishing generate de AI.
Pe măsură ce AI devine atât instrument de atac, cât și țintă, organizațiile trebuie să se pregătească pentru această nouă realitate, în care cele mai mari amenințări AI pot proveni chiar din cele mai populare platforme.