Эксперты компании ESET обнаружили первый в мире образец программы-вымогателя, который использует искусственный интеллект для генерации вредоносного кода в реальном времени. Вредонос, получивший название PromptLock, в настоящее время существует в виде концептуального доказательства (proof-of-concept) и еще не был задействован в реальных атаках. Артефакты кода были загружены на сервис VirusTotal 25 августа 2025 года с территории Соединенных Штатов. Личность создателей остается неизвестной.
Технически PromptLock написан на языке программирования Golang. Для своей работы он использует локально развернутую языковую модель
Основной механизм атаки заключается в том, что PromptLock генерирует вредоносные скрипты на языке Lua прямо в процессе работы, основываясь на жестко закодированных в нем текстовых запросах (промптах). Созданные таким образом скрипты являются кроссплатформенными и способны выполняться в операционных системах Windows, Linux и macOS.
Сгенерированные ИИ скрипты выполняют последовательность разрушительных действий. Сначала они производят перечисление файлов в локальной файловой системе, затем анализируют целевые файлы, после чего похищают выбранные данные и приступают к их шифрованию. В коде также обнаружена нереализованная функция полного уничтожения данных.
Для блокировки файлов используется 128-битный алгоритм шифрования SPECK. Кроме того, PromptLock способен создавать персонализированную записку с требованием выкупа. Ее содержание зависит от того, какие «файлы были затронуты» и какой тип устройства был заражен, будь то «персональный компьютер, сервер компании или контроллер распределения электроэнергии».
Главная опасность PromptLock заключается в его непредсказуемости. Поскольку вредоносные Lua-скрипты генерируются искусственным интеллектом, индикаторы компрометации (IoCs) могут меняться при каждом новом запуске вируса. Эта вариативность значительно усложняет идентификацию угрозы и ее обнаружение защитными системами.
Злоупотребление ИИ-инструментами уже стало реальностью. Компания Anthropic была вынуждена заблокировать учетные записи, созданные двумя различными группами злоумышленников. Они использовали чат-бот Claude AI для организации крупномасштабных кампаний по краже и вымогательству персональных данных, от которых пострадали как минимум 17 различных организаций. Также чат-бот применялся для разработки нескольких вариантов программ-вымогателей с продвинутыми механизмами уклонения от обнаружения, шифрования и противодействия восстановлению данных.
Большие языковые модели (LLM) по своей природе уязвимы для атак типа «инъекция промптов», несмотря на встроенные механизмы безопасности. По заявлению Anthropic, такие атаки могут заставить ИИ удалять файлы, похищать данные и даже совершать финансовые транзакции.
Список уязвимых LLM и инструментов для разработчиков включает Amazon Q Developer, Anthropic Claude Code, AWS Kiro, Butterfly Effect Manus, Google Jules, Lenovo Lena, Microsoft GitHub Copilot, OpenAI ChatGPT Deep Research, OpenHands, Sourcegraph Amp и Windsurf.
На прошлой неделе исследовательская компания Adversa AI опубликовала отчет о новом векторе атаки, получившем название PROMISQROUTE. Его полное наименование: «Prompt-based Router Open-Mode Manipulation Induced via SSRF-like Queries, Reconfiguring Operations Using Trust Evasion».
Атака PROMISQROUTE эксплуатирует механизм маршрутизации моделей в ChatGPT, который используется поставщиками ИИ для экономии затрат. Злоумышленник, используя простые фразы вроде «используй режим совместимости» или «нужен быстрый ответ», заставляет систему переключиться на обработку запроса более старой и менее защищенной моделью.
В результате такого понижения класса модели система обходит существующие фильтры безопасности, что позволяет генерировать нежелательные результаты. Этот метод эффективно «сводит на нет миллионы долларов, вложенные в исследования безопасности ИИ».
Изображение носит иллюстративный характер
Технически PromptLock написан на языке программирования Golang. Для своей работы он использует локально развернутую языковую модель
gpt-oss:20b от компании OpenAI через API-интерфейс Ollama. Эта модель является открытой (open-weight) и была выпущена OpenAI ранее в этом месяце. Атакующему не требуется загружать модель целиком на машину жертвы; вместо этого он может использовать прокси-сервер или туннель для доступа к серверу, где она уже запущена. Основной механизм атаки заключается в том, что PromptLock генерирует вредоносные скрипты на языке Lua прямо в процессе работы, основываясь на жестко закодированных в нем текстовых запросах (промптах). Созданные таким образом скрипты являются кроссплатформенными и способны выполняться в операционных системах Windows, Linux и macOS.
Сгенерированные ИИ скрипты выполняют последовательность разрушительных действий. Сначала они производят перечисление файлов в локальной файловой системе, затем анализируют целевые файлы, после чего похищают выбранные данные и приступают к их шифрованию. В коде также обнаружена нереализованная функция полного уничтожения данных.
Для блокировки файлов используется 128-битный алгоритм шифрования SPECK. Кроме того, PromptLock способен создавать персонализированную записку с требованием выкупа. Ее содержание зависит от того, какие «файлы были затронуты» и какой тип устройства был заражен, будь то «персональный компьютер, сервер компании или контроллер распределения электроэнергии».
Главная опасность PromptLock заключается в его непредсказуемости. Поскольку вредоносные Lua-скрипты генерируются искусственным интеллектом, индикаторы компрометации (IoCs) могут меняться при каждом новом запуске вируса. Эта вариативность значительно усложняет идентификацию угрозы и ее обнаружение защитными системами.
Злоупотребление ИИ-инструментами уже стало реальностью. Компания Anthropic была вынуждена заблокировать учетные записи, созданные двумя различными группами злоумышленников. Они использовали чат-бот Claude AI для организации крупномасштабных кампаний по краже и вымогательству персональных данных, от которых пострадали как минимум 17 различных организаций. Также чат-бот применялся для разработки нескольких вариантов программ-вымогателей с продвинутыми механизмами уклонения от обнаружения, шифрования и противодействия восстановлению данных.
Большие языковые модели (LLM) по своей природе уязвимы для атак типа «инъекция промптов», несмотря на встроенные механизмы безопасности. По заявлению Anthropic, такие атаки могут заставить ИИ удалять файлы, похищать данные и даже совершать финансовые транзакции.
Список уязвимых LLM и инструментов для разработчиков включает Amazon Q Developer, Anthropic Claude Code, AWS Kiro, Butterfly Effect Manus, Google Jules, Lenovo Lena, Microsoft GitHub Copilot, OpenAI ChatGPT Deep Research, OpenHands, Sourcegraph Amp и Windsurf.
На прошлой неделе исследовательская компания Adversa AI опубликовала отчет о новом векторе атаки, получившем название PROMISQROUTE. Его полное наименование: «Prompt-based Router Open-Mode Manipulation Induced via SSRF-like Queries, Reconfiguring Operations Using Trust Evasion».
Атака PROMISQROUTE эксплуатирует механизм маршрутизации моделей в ChatGPT, который используется поставщиками ИИ для экономии затрат. Злоумышленник, используя простые фразы вроде «используй режим совместимости» или «нужен быстрый ответ», заставляет систему переключиться на обработку запроса более старой и менее защищенной моделью.
В результате такого понижения класса модели система обходит существующие фильтры безопасности, что позволяет генерировать нежелательные результаты. Этот метод эффективно «сводит на нет миллионы долларов, вложенные в исследования безопасности ИИ».
