Современные коммерческие большие языковые модели (LLM, класс ИИ-моделей для обработки текста) уже настолько эффективны, что стали полноценным инструментом в цепочке атак. Как показало недавнее исследование, злоумышленники активно встраивают их в свои вредоносные кампании на нескольких этапах: от написания кода взлома до адаптации поведения программ в реальном времени. Раньше подобную многоступенчатую работу мог выполнить только опытный хакер.
Описание
Теперь же, по данным бенчмарка Cybench, лучшие модели, такие как Claude Opus 4.6, Claude Sonnet 4.5 и Grok 4, способны самостоятельно писать рабочий код атак, анализировать цепочки учётных данных и проводить разведку. И самое тревожное: вредоносные программы уже пользуются этими возможностями. Вместо того чтобы загружать готовый вредоносный код вместе с телом программы, разработчики вирусов вшивают в неё прямой вызов языковой модели (LLM) через её программный интерфейс. Таким образом, вредонос может адаптировать своё поведение прямо на заражённом устройстве, выбирая, например, как именно зашифровать файлы или какие данные украсть.
Поставщики коммерческих ИИ-сервисов стараются бороться с этим: они отслеживают подозрительную активность и блокируют учётные записи. Но у злоумышленников есть способ обойти и эту защиту. Исследователи выделили пять основных маршрутов, которые позволяют преступникам получать доступ к мощным ИИ-моделям, не платя за них ни копейки. Новый отчёт подробно описывает механику каждого из них.
Первый и самый очевидный путь - покупка доступов на подпольных форумах. Специализированные модели вроде WormGPT или GhostGPT продаются по подписке и обещают отсутствие цензуры. Однако их возможности серьёзно уступают флагманским моделям. Они хороши для фишинга или создания простых заготовок, но не для сложных атак. Второй способ - использование сервисов-посредников, таких как PayWithMoon. Эти площадки принимают криптовалюту без проверки личности и покупают законный доступ к коммерческим моделям за атакующего. Бумажный след обрывается на посреднике, а сама учётная запись всё равно будет заблокирована, но заменить её недорого.
Третий путь удивляет своей простотой. Многие крупные поставщики моделей предлагают бесплатные тарифы. Для регистрации нужен лишь одноразовый адрес электронной почты, а иногда даже он не требуется. Например, DuckDuckGo через свой сервис Duck.ai предоставляет доступ к Claude 3.5 Haiku, Llama 4 Scout, GPT-4o mini без какой-либо аутентификации. Злоумышленник может завести десятки таких аккаунтов и, вращая их по мере исчерпания лимитов, получать огромное количество запросов бесплатно. Именно этот метод использует вредоносное семейство LameHug, также известное как PROMPTSTEAL: оно обращается к интерфейсу HuggingFace для проведения разведки и кражи данных.
Четвёртый метод - кража ключей доступа из исходных кодов. Разработчики часто зашивают ключи прямо в приложения. Например, в Android-приложениях, предназначенных для перевода или работы с чат-ботами, такие ключи можно извлечь после декомпиляции. Исследователи проанализировали базу данных VirusTotal и нашли 647 уникальных ключей. Около 62% из них принадлежали сервису Google Gemini. Однако почти все эти ключи (99,5%) были уже отозваны поставщиками. Это значит, что охота за ключами в открытых артефактах даёт низкий результат.
Пятый и самый надёжный для атакующих путь - эксплуатация открытых серверов LLM. Администраторы часто оставляют серверы без пароля на портах, выходящих в интернет. Исследователи просканировали порядка 4,5 тысяч хостов. Платформы вроде Ollama, LocalAI, vLLM при неправильной настройке позволяют любому не только отправлять запросы, но и управлять моделями, загружать новые или даже выполнять код на сервере. Особенно выделяется LocalAI: 21% подтверждённых открытых хостов несли следы автоматических атак. Злоумышленники уже продают доступ к таким захваченным серверам под брендом Operation Bizarre Bazaar, превращая кражу вычислительных мощностей в прибыльный бизнес.
Итог очевиден: несмотря на развитие технологий, самые слабые места - это всё те же базовые ошибки. Открытый порт, отсутствие пароля, забытый ключ в коде. Злоумышленникам не нужны сложные нулевые уязвимости. Им нужна чужая беспечность.
Индикаторы компрометации
SHA256
- 0c1a409dd791ee8f7e157c455d9c35671bd81d17b562c7acd73f9f26401533ba
- 153d7cdca3cb96023a2ee8e3de49b29ced60ffc865da04c3c6ef2b445b056d8f
- 796e81c1b31f443ab3437663af97fe41b25bbf8ab7abcd0637238a568b66aa9d
- 99308a3f00490e8138974faafa3ea5ae089459b2500e097ccc0ed042b6a0c2af
- a9dc00aeae6c245d76d873e675b555f044ecf94a5ece031a1e6ca30223beb905
- ecd3b1a0e4832f1dc72be84c3c838ae4e29637c1cff4bfa70649cda90fa7a8ce