Pesquisadores da Universidade de Cambridge construíram um worm de IA que se adapta em toda a rede

Pesquisadores da Universidade de Toronto e outros criaram com sucesso uma prova de conceito de um worm autônomo de IA que, em vez de depender de uma lista fixa de vulnerabilidades, usa pequenos modelos de linguagem (LLMs) open-weight para analisar os próprios alvos, definir estratégias de ataque e se propagar por redes corporativas.

Tradução completa

Pesquisadores da Universidade de Toronto, do Vector Institute e da Universidade de Cambridge desenvolveram e testaram um modelo de prova de conceito (PoC) de um worm autônomo baseado em IA que opera sem depender de uma lista fixa de exploits. Esse worm analisa por conta própria cada alvo que encontra, raciocina sobre como atacá-lo e monta uma estratégia na hora. Todo esse processo acontece com a ajuda de um pequeno modelo de linguagem (LLM) open-weight e gratuito executado diretamente no dispositivo já infectado.

Worm baseado em modelo open-weight hospedado no hardware infectado

Os pesquisadores explicaram que "nosso protótipo tem como alvo vulnerabilidades públicas, porém ainda não corrigidas, configurações incorretas e classes recorrentes de vulnerabilidades, que são os elementos dos quais a maioria dos ataques cibernéticos reais depende". Também acrescentaram que "esse worm não precisa da capacidade de descobrir novas vulnerabilidades zero-day; basta um modelo de IA com inteligência suficiente para explorar, em condições reais, vulnerabilidades existentes e disfarçadas de acordo com diferentes configurações de alvo".

Em um ambiente de teste de rede isolado com 33 hosts compostos por servidores Linux, dispositivos Windows e aparelhos IoT com vulnerabilidades conhecidas, erros de configuração e fraquezas comuns, os pesquisadores realizaram 15 experimentos independentes, cada um executado por 7 dias.

Nos resultados, o worm identificou corretamente, em média, 31,3 vulnerabilidades {b:31.3}, atacou 23,1 hosts com escalonamento de privilégios {b:23.1} e conseguiu se propagar para 20,4 hosts {b:20.4}. (Entre os 33 hosts no total, a taxa de infecção e propagação chegou a cerca de 62% {p:62}.)

O worm também demonstrou capacidade de atacar vulnerabilidades divulgadas após a data de corte de treinamento do modelo base, como Copy Fail, Dirty Frag e Marimo RCE, lendo avisos públicos de segurança em tempo de execução, entendendo as informações e criando exploits funcionais.

Além disso, quando ocorriam falhas inesperadas, ele usava capacidade geral de raciocínio para diagnosticar o problema e encontrar uma solução. Por exemplo, chegou a descobrir por conta própria uma lista de bloqueio de IPs hardcoded em seu código-fonte e a corrigir isso sem qualquer instrução. Em outro caso, quando cópias do worm travaram em hosts Alpine Linux e Windows Server 2008 por causa de um bug na checagem de detecção de máquina virtual (VM), o worm pai localizou no dispositivo-alvo o arquivo-fonte de autenticação, removeu a lógica problemática de checagem e então tentou novamente com sucesso.

Protótipo de worm que não depende de plataformas comerciais de IA

O aspecto especialmente preocupante desse protótipo está em como ele se mantém. O worm sequestra dispositivos com GPU entre as máquinas que infecta e usa os recursos computacionais roubados para executar localmente o modelo de linguagem. Dispositivos de baixo desempenho, como sensores IoT que não conseguem hospedar o modelo diretamente, encaminham consultas de inferência para nós com GPU infectados localizados em níveis superiores da rede.

Por isso, as medidas de controle implementadas por plataformas comerciais de IA não conseguem bloquear esse novo tipo de ameaça, o que mostra que os guardrails de segurança de modelos open-weight podem ser facilmente contornados quando o atacante tem controle total do ambiente local de execução.

Os pesquisadores afirmaram que "o modelo de prova de conceito que avaliamos herdou diretamente os limites de capacidade do modelo base. A taxa de sucesso de tentativas individuais de exploit foi de 44% {p:44}, e a maioria das falhas não ocorreu por estratégia de ataque incorreta, mas sim por payloads defeituosos". Em seguida, explicaram que "o worm teve dificuldade especialmente com estruturas de aplicações web, ambientes de comando do Windows e manipulação precisa de strings necessária para a sintaxe dos payloads. Isso apenas reflete as limitações atuais de geração de código dos modelos de GPU única desta geração, e não uma limitação fundamental dessa abordagem; esses problemas serão superados à medida que os modelos de linguagem melhorarem sua geração de código e sua capacidade de produzir saídas estruturadas. Apesar da fragilidade dessas tentativas individuais, a arquitetura em swarm do worm compensa isso por meio de caminhos de raciocínio paralelos e independentes, alcançando assim os resultados relatados".

A melhor defesa atual contra worms baseados em IA

Os pesquisadores reconheceram abertamente a natureza dual-use desta pesquisa e omitiram do artigo público detalhes operacionais específicos, incluindo a arquitetura de raciocínio do agente, o conjunto completo de ferramentas e os nomes dos LLMs usados. Antes da publicação, eles compartilharam as descobertas com diversas autoridades científicas, de segurança e de defesa do Canadá, e receberam apoio de revisão para garantir que o artigo não incluísse informações que pudessem ajudar atacantes. (Pesquisadores de segurança podem solicitar acesso ao protótipo à Universidade de Toronto.)

Além disso, por causa da inovadora capacidade de autorreplicação, os pesquisadores tomaram cuidado especial para manter o worm totalmente isolado dentro do laboratório de testes, evitando qualquer vazamento para fora do ambiente.

Os pesquisadores observaram que "este estudo fornece evidência empírica de que ataques cibernéticos autônomos passaram de risco teórico para capacidade real demonstrada, o que representa um desafio para a pesquisa em IA, a cibersegurança e as políticas públicas". Também enfatizaram que "esta pesquisa revelou uma nova ameaça de cibersegurança para a qual o mundo ainda não está preparado. Pesquisadores, indústria, formuladores de políticas e o público em geral precisam unir forças com urgência para enfrentar essa nova ameaça".

Do ponto de vista defensivo, o estudo apresenta duas prioridades:

• Uso de ferramentas automatizadas de pentest e fuzzing com apoio de IA: as organizações precisam encontrar e corrigir fraquezas exploráveis em sua própria infraestrutura antes que agentes adversários descubram as vulnerabilidades.
• Segmentação rigorosa de rede: uma segmentação adequada da rede pode conter de forma efetiva a propagação do worm. São essenciais tanto o princípio de Zero Trust, que não confia em nada dentro do perímetro e exige autenticação contínua para toda solicitação de acesso, quanto a microsegmentação, que limita o alcance dos danos quando uma invasão é bem-sucedida.

Os pesquisadores alertaram que as assinaturas comportamentais desse worm protótipo ainda podem ser detectadas pelos atuais sistemas de monitoramento de rede e sistemas de detecção de intrusão (IDS), mas que futuros worms criados por agentes maliciosos poderão ser muito mais hábeis em contornar esse tipo de detecção.