Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

„Dark LLMs“ и помагаат на ситните криминалци, но технички разочаруваат

Објавено: 28.11.2025

Како и во поширокиот свет, вештачката интелигенција не ги исполнува целосно очекувањата во сајбер-подземјето. Но, дефинитивно им помага на ниско-ниво сајбер-криминалците да вршат солидна работа.
Злонамерниот софтвер генериран со вештачка интелигенција сè уште не ги оправда сите стравови, но им помага на „script kiddies“ и на говорниците на странски јазици да ги изгладат проблемите во нивните сајбер-напади.

На 30 ноември 2022 година, развивачи од Сан Франциско објавија чет-бот кој можеше да пребарува на Google наместо вас или да пишува поезија како Роберт Фрост за дел од секунда. Тоа ја разбуди имагинацијата. За многумина во сајбер-безбедноста, пораката беше јасна: наскоро големите јазични модели (LLM) ќе можат да пишуваат malware, па дури и да изведуваат автономни сајбер-напади во име на злонамерни актери. А некои тврдеа дека дистописка научно-фантастична иднина веќе пристигнала.

Три години подоцна, се чини дека е добро време за пресек на состојбата. Во нов блог-пост, Unit 42 на Palo Alto Networks разгледува два од водечките „темни“ LLM-и на пазарот денес: WormGPT 4 и KawaiiGPT. Она што се истакнува кај WormGPT 4 и KawaiiGPT е и колку се корисни за ниско-ниво хакери, и колку се целосно слаби во сите други аспекти. И двата можат да пишуваат елементарен malware и граматички исправни фишинг-мејлови за хакери кои работат преку јазични бариери, и генерално да им помагаат на „script kiddies“ низ различни фази од синџирот на напад. И тоа е практично сè.

Што можат Dark LLMs да направат за сајбер-криминалците

Пророштвата на многу коментатори за AI сајбер-апокалипса изгледаа потврдени кога, летото 2023 година, на подземниот пазар се појави производ „malware-as-a-service“ (MaaS) наречен WormGPT.

WormGPT беше промовиран како напреден чет-бот без досадните заштитни ограничувања на кои хакерите наидуваа кога се обидуваа да експериментираат со ChatGPT. Наводно, бил изграден со отворен код LLM GPT-J 6B и обучуван на примероци од фишинг, злонамерен софтвер и експлоити. За десетици до стотици долари месечно, сајбер-криминалците можеле да го користат WormGPT за пишување делови од основен злонамерен код и за креирање јасни, убедливи фишинг-пораки.

Има малку докази дека WormGPT имал значително влијание врз реалната злонамерна активност во пракса. Но, како доказ за концепт (PoC), доволно ја вознемири заедницата за сајбер-безбедност и инспирираше бројни копии во сајбер-подземјето, меѓу кои и WormGPT 4.

Како и неговиот „духовен претходник“, WormGPT 4 се рекламира како „AI без граници“, со „напредни способности да генерира било каква содржина и да пристапува до информации без ограничувања или цензура“. Кога истражувачите од Unit 42 му побарале на WormGPT 4 ресурси што би можел да ги користи во ransomware напади, тој генерирал банална, но граматички беспрекорна порака за откуп и алатка за заклучување PDF-фајлови, која можела да се конфигурира да напаѓа и други екстензии на датотеки и да користи Tor за извлекување податоци.

Истражувачите го тестирале и еден од конкурентите на WormGPT 4, KawaiiGPT. KawaiiGPT составувал солидни, иако сувопарни, фишинг-пораки и пораки за откуп, како и едноставни, но функционални Python-скрипти за извлекување податоци. Исто така, можел да извршува латерално движење на Linux хост.

Дали Dark LLMs навистина имаат влијание врз сајбер-криминалот?

Бесплатниот пристап до KawaiiGPT и неговата способност да им помага на почетнички хакери низ секој чекор од синџирот на напад помогнаа да стекне скромна, но стабилна база на следбеници. Во порака испратена до Telegram канал со 180 членови, креаторот на KawaiiGPT тврди дека алатката достигнала повеќе од 500 регистрирани корисници, од кои околу половина се активни.

WormGPT 4, во меѓувреме, се продава преку модел на претплата со различни нивоа, но неговата Telegram заедница е поголема, со повеќе од 500 претплатници.

Одед Вануно, главен технолог и раководител на истражувањето за ранливости на производи во Check Point, забележува дека пазарот за ваквите темни LLM-и на некој начин е во подем.

„Хакерите активно се натпреваруваат и развиваат алатки што се надоврзуваат на претходници како WormGPT,“ вели тој. „Комерцијалните темни LLM-и се продаваат за пари, [а] вештите актери градат сопствени модели и ги интегрираат директно во својата локална инфраструктура користејќи методи на конфигурација, заобиколувајќи го комерцијалниот пазар целосно. Така, пазарот е истовремено и комерцијален и приватно развиен.“

Сето ова може да сугерира дека темните LLM-и имаат реално влијание врз денешниот сајбер-пејзаж на закани. Сепак, дури и по три години, истражувачите сè уште немаат цврсти докази за да го потврдат тоа.

„Речиси е невозможно да се следи дали темните LLM-и се широко прифатени или не“, признава Енди Пјаца, виш директор за сајбер-разузнавање за закани во Unit 42, бидејќи истражувачите немаат алатки потребни за да го детектираат учеството на вештачката интелигенција во злонамерните артефакти, освен во оние ретки случаи кога напаѓачите самите се откриваат.

AI malware останува неефикасен

И покрај сета помош што ја нудат на хакерите од ниско ниво, кај WormGPT 4 и KawaiiGPT особено се истакнува колку се технички разочарувачки, барем во споредба со популарните предвидувања во медиумите за AI malware.

Кајл Вилхоит, директор за истражување на закани во Unit 42, посочува неколку причини зошто овие алатки заостануваат. „LLM-ите сè уште халуцинираат, генерирајќи код што изгледа веродостојно, но е фактички неточен“, вели тој, како еден пример. „Често апстрактното знаење неопходно за креирање целосно функционален примерок на злонамерен софтвер е тешко за еден темен LLM да го изгради. Исто така мислам дека човечки надзор сè уште е потребен за проверка на халуцинациите или за прилагодување на специфичностите на мрежата, на пример.“

Суштината, според Вануно, е дека „напредокот е бавен бидејќи AI во моментов не носи нов технолошки јаз или предност во основната механика на процесот на сајбер-напад“. Како што покажуваат нивните излитени трикови со злонамерен софтвер и баналните пораки за откуп, најпопуларните темни LLM-и денес сè уште само копираат од артефакти достапни на интернет, наместо да создаваат нови излезни резултати што навистина би направиле разлика.

Среќна околност е што тоа значи дека целата приказна за AI-малвер против AI-одбрани била прерана. „Реалноста е дека огромното мнозинство од малверот генериран од темни LLM модели се заснова на познати примероци на малвер“, вели Пјаца, „што значи дека веќе имаме постојни алатки и потписи за да ги детектираме вообичаените техники на малвер.“

Извори:

  • Darkreading – ‘Dark LLMs’ Aid Petty Criminals, But Underwhelm Technically Darkreading