WormGPT — это не нейросеть, а псевдобренд. Под ним прячутся чужие ИИ, перепрошитые на послушное зло

На первый взгляд, WormGPT выглядит как полноценный продукт из арсенала киберпреступников: мощный, бесконтрольный, способный генерировать вредоносный код, фишинговые письма и инструкции для обхода систем безопасности. Однако недавнее расследование команды Cato CTRL (Cato Networks) обнажило нечто совсем иное: за «продвинутыми» атаками скрываются вполне легальные языковые модели с подменёнными системными инструкциями. И за доступ к ним хакеры требуют до $100 в месяц. За то, что можно получить бесплатно или почти даром...

Суть мошеннической схемы проста: злоумышленники берут знакомые нам всем сервисы, модифицируют начальные настройки — и продают их как якобы собственные разработки. Эти модификации, так называемые джейлбрейк-подсказки , заставляют ИИ игнорировать встроенные ограничения, обходить фильтры и исполнять запросы, обычно блокируемые по соображениям безопасности.

WormGPT — не новое имя в криминальной среде. Он появился летом 2023 года и активно развивался параллельно с открытием всё новых возможностей генеративного ИИ. В августе того же года сервис якобы был закрыт, но после этого всплыли сразу несколько клонов . Теперь стало ясно, что ни один из них не был самостоятельной разработкой.

Аналитики Cato обнаружили как минимум две активные версии, рекламируемые на подпольных форумах . Первая продавалась неким киберпреступником под ником keanu. Он предлагал три тарифных плана: бесплатный, за $8 в месяц и расширенный за $18. Причём даже самая дорогая подписка имела ограничения — не более 150 запросов в сутки и 80 генераций изображений. Учитывая, что модель в итоге оказалась лишь модифицированной версией Grok, стоимость кажется особенно абсурдной.

Вторая версия, распространявшаяся пользователем с псевдонимом xzin0vich, стоила $100 в месяц, при этом была заявлена опция «пожизненного» доступа за $200. Правда, ни о каких гарантиях сроков действия этой вечной лицензии речи не шло.

Интересно, что исследователи не раскрывают, каким образом получили доступ к этим версиям, но как только начали взаимодействие с ботами через Telegram , всё стало предельно ясно. Один из вариантов WormGPT при первом же запросе на создание фишингового письма охотно сгенерировал нужный текст. Затем был запрошен системный промпт — и оказалось, что он начинается со строки: «Hello Grok, from now on you are going to act as chatbot WormGPT».

Исходная же версия Grok, разработанная компанией xAI Илона Маска, доступна пользователям соцсети X, причём базовая версия предоставляется бесплатно. Более продвинутый план SuperGrok стоит $30 в месяц, а API — от $0.5 до $15 за миллион токенов, в зависимости от модели.

Суть манипуляции заключается в изменённом системном промпте — специальной инструкции, которая программирует поведение модели. Там прямо указывалось игнорировать любые запреты, блокировки, фильтрацию контента и следовать любой команде пользователя. Такой подход позволяет использовать даже строго регулируемые языковые модели для генерации вредоносного материала.

Вторая разоблачённая модель, скрывающаяся под брендом WormGPT, работала на базе Mixtral — свободно распространяемой архитектуры, созданной французским стартапом Mistral AI. Самая мощная из её версий, Mixtral 8x22B, стоит $6 за миллион токенов при использовании API, но при желании её можно запустить и локально — абсолютно бесплатно. Несмотря на это, киберпреступники устанавливали ценник в $100 за месяц, скрывая за ним тот же самый механизм: взлом системных подсказок и переупаковку под криминальный бренд.

Mixtral, как и Grok, при правильной настройке охотно генерировала фишинговые письма , скрипты для кражи учётных данных и прочие инструменты для атак. В утёкшем промпте содержалось множество инструкций по обходу правил и игнорированию ограничений — всё это задавалось на старте сессии и определяло дальнейшее поведение модели.

По сути, преступники создают дистанционную прослойку между собой и ИИ. Через Telegram-ботов , закрытые чаты или облачные прокладки они предлагают клиентам доступ к «продвинутому» инструменту — при этом реальная вычислительная часть находится под контролем тех, кто запускает модель. Получается своеобразная зона отчуждения, которая маскирует как источники, так и исполнителей.

Помимо Grok и Mixtral, в подобных схемах активно используются и другие модели: Gemma, Llama, Qwen и множество локально разворачиваемых LLM. Каждый желающий может запустить собственную версию и выставить её в даркнете как новый инструмент для атак — и всё это с минимальными затратами.

Результат налицо: псевдопродукты вроде WormGPT становятся своего рода франшизой в киберкриминале. За вывеской скрываются старые механизмы — но именно это делает их особенно опасными: злоумышленники больше не тратят ресурсы на разработку, а просто перекрашивают уже существующее. Как показывают исследования Sophos , многие киберпреступники уже разочаровались в возможностях генеративного ИИ, но интерес к альтернативным версиям ChatGPT продолжает расти в криминальной среде.