ChatGPT начал писать вирусы. Исследователи нашли первый ИИ-вредонос в истории

Специалисты SentinelLABS обнаружили то, что они называют самым ранним из известных на сегодня образцов вредоносного ПО со встроенными возможностями LLM-моделей — образец получил кодовое имя MalTerminal. В докладе, представленном на конференции LABScon 2025, исследователи описывают набор артефактов: Windows-бинарь, несколько Python-скриптов и вспомогательные инструменты, которые демонстрируют, как модель GPT-4 использовалась для динамической генерации кода шифровальщика или реверс-шелла.

В образце обнаружен API endpoint к устаревшему OpenAI Chat Completions, выведенному из эксплуатации в начале ноября 2023 года, что указывает на то, что MalTerminal мог быть создан до этой даты и поэтому претендует на звание одного из первых LLM-встроенных образцов. В отличие от привычного вредоноса, часть логики у MalTerminal формируется на этапе выполнения за счёт запросов к GPT-4: оператору предлагается выбрать режим «шифровальщик» или «reverse shell», а модель генерирует соответствующий код. Одновременно с этим в комплекте обнаружены скрипты, повторяющие поведение бинарника, и защитный сканер, который с помощью модели оценивает подозрительные Python-файлы и формирует отчёт — наглядная иллюстрация двойственного применения LLM в наступательных и оборонительных сценариях.

Авторы исследования пошли дальше и показали методику охоты за LLM-вредоносом, опирающуюся на неизбежные артефакты интеграции — встроенные API-ключи и жёстко прописанные промпты. По шаблонам ключей и префиксам, например sk-ant-api03 у одного поставщика или узнаваемыми фрагментами у OpenAI, были составлены правила для массового ретрохантинга (retrohunting). Анализ VirusTotal за год выявил тысячи файлов с ключами, среди которых попадаются как невинные утечки разработчиков, так и образцы с признаками злоупотребления. Параллельно была реализована охота по промптам: извлечение текстовых подсказок из бинарников и скриптов с последующей автоматизированной оценкой их вредоносного намерения при помощи лёгкой LLM-классификации показала высокую эффективность в обнаружении невидимых ранее инструментов.

Исследование подчёркивает важный парадокс: использование внешней модели даёт атакующему гибкость и адаптивность, но создаёт и слабые места — без действующего ключа или сохранённых подсказок функциональность резко падает. Это делает поиск «промптов как кода» и встроенных ключей перспективным направлением для защиты, особенно на ранней стадии эволюции таких угроз. На сегодняшний день прямых свидетельств массового развёртывания MalTerminal не найдено — возможно, перед нами доказательство концепции или набор для тестирования — но сама тактика меняет рассуждения о сигнатурах, сетевом трафике и методах атрибуции атак.

SentinelLABS призывает к повышенному вниманию при анализе приложений и ретроспективной обработке репозиториев: теперь помимо байт-кода и строковых сигнатур имеет смысл искать текстовые подсказки, структуры сообщений и артефакты доступа к облачным моделям — там, где кроется будущая механика новых вредоносов.

Авторы отмечают, что прямых признаков массового развёртывания MalTerminal в природе не найдено — возможно, это доказательство концепции или инструмент для «красной команды» (Red Team) — но сами методы меняют тактику злоумышленников. Встраивание генератора команд и логики на этапе выполнения снижает надёжность классических сигнатурных детекторов и усложняет атрибуцию атак.