Check Pointの研究者らが明らかにしたところによると、クラウドサーバーを標的とした洗練されたLinuxマルウェアVoidLinkは、単独の開発者がAIツールを使用して大部分を構築したという。このフレームワークは、システムへの長期アクセス用の30以上のモジュールプラグインを含み、20〜30週間の予定にもかかわらず1週間未満で88,000行のコードに達した。この開発は、AIが高度なマルウェア作成を加速させる可能性を強調している。
VoidLinkは、Linuxベースのシステムへの永続的なアクセスを維持するためのクラウド特化Linuxマルウェアフレームワークで、カスタムローダー、埋め込み、ルートキットベースの回避技術、および数十のモジュールプラグインを備えている。Check Point Researchが先週初めて詳細を公表したが、当初はモジュール性の洗練さと急速な開発から、豊富なリソースを持つサイバー犯罪グループによるものと見なされていた。しかし、公開された開発アーティファクトの分析により、VoidLinkは1人の個人の指示の下で主にAIによって生成されたことが明らかになった。プロジェクトは2025年11月下旬に開始された可能性が高く、TRAE AI中心IDE内のAIアシスタントTRAE SOLOを使用した。漏洩したファイルには、中国語の計画文書、スプリント、デザインアイデア、タイムラインが含まれており、AIがアーキテクチャ設計、コード生成、シミュレートされた仮想チームを通じた実行を扱う構造化されたアプローチを示していた。計画では20〜30週間の労力を想定していたが、証拠からマルウェアはコンセプトから機能するインプラントへ1週間未満で進化し、88,000行を超えるコードにスケールした。開発者の初期プロンプトはスケルトン設計に焦点を当て、AIのガードレールをテストした可能性があり、コード機能性を検証するための定期的なチェックポイントがあった。Check Pointの研究者らは、同じIDEで漏洩仕様に従ってフレームワークを再現し、スプリントごとに機能する高品質コードを生成するAIの役割を確認した。「VoidLinkは、待ち望まれていた洗練されたAI生成マルウェアの時代が始まったことを示している」とCheck Pointのブログは述べている。「経験豊富な単独の脅威アクターやマルウェア開発者の手に渡れば、AIは高度でステルス性が高く安定したマルウェアフレームワークを構築でき、洗練された脅威グループが作成したものに似せることができる。」この事例はサイバーセキュリティ脅威の転換点を示しており、AIが有能な開発者の攻撃能力の速度と規模を増幅させる。以前はAI駆動マルウェアはそれほど洗練されていない作戦に関連付けられていたが、VoidLinkは専門家によるとベースラインリスクを高めている。
