网络安全攻防的天平,正随着AI技术的普及悄然倾斜。
近日,网络安全公司ESET披露了一种新型人工智能驱动的勒索软件变种,代号为PromptLock。这款采用Golang编写的恶意软件通过Ollama API本地调用OpenAI的gpt-oss:20b模型,实时生成恶意Lua脚本,标志着勒索软件进入AI驱动的新时代。
OpenAI本月初刚刚开源的gpt-oss:20b模型,这么快就被攻击者武器化,速度之快令人震惊。
01 技术剖析:AI如何赋能传统勒索软件
PromptLock的技术架构体现了攻击者的创新思维。与传统勒索软件不同,它不包含固定的加密逻辑,而是通过AI模型动态生成恶意脚本。
根据ESET的分析,这款勒索软件使用硬编码的提示词(prompt)生成Lua脚本,这些脚本能够:枚举本地文件系统、检查目标文件、外泄选定数据并执行加密操作。
由于其基于Lua脚本实现核心功能,PromptLock具备跨平台兼容性,可以在Windows、Linux和macOS系统上运行。
加密方面,该勒索软件采用SPECK 128位加密算法锁定文件。安全专家指出,虽然当前样本主要展示加密能力,但代码分析表明它还可能用于数据外泄甚至破坏,尽管文件擦除功能尚未完全实现。
02 攻击机制:本地化AI模型降低攻击门槛
值得注意的是,PromptLock并不直接下载完整的AI模型(这可能达到数GB大小),而是通过建立代理或隧道,从受感染网络连接到运行Ollama API和gpt-oss-20b模型的服务器。
这种设计极大降低了攻击者的资源需求,使更多威胁行为者能够复制这种攻击模式。
ESET向The Hacker News透露,PromptLock相关样本于2025年8月25日从美国上传至VirusTotal。目前幕后黑手身份尚不明确,但证据表明这更像是一个概念验证(PoC),而非已在野广泛传播的完全操作型恶意软件。
03 防御挑战:AI生成的动态攻击特征
PromptLock的出现给传统防御机制带来了全新挑战。ESET警告称:“PromptLock使用AI生成的Lua脚本,这意味着每次执行时的入侵指标(IoCs)可能会有所不同。”
这种变异性给威胁识别带来巨大困难,如果这种方法得到恰当实施,将显著复杂化威胁检测过程,加大防御者的工作难度。
安全团队不能再依赖传统的特征码检测方法,而需要转向行为分析、异常检测和AI驱动的防御策略。
04 行业警示:AI安全威胁已成现实
PromptLock的发现不是孤立事件。就在同一天,Anthropic公司透露已封禁两个不同威胁行为者的账户,这些攻击者使用其Claude AI聊天机器人实施大规模个人数据盗窃和勒索活动,针对至少17个不同组织。
这些威胁行为者还开发了多个勒索软件变种,具备高级规避能力、加密和反恢复机制。
研究表明,包括Amazon Q Developer、Anthropic Claude Code、AWS Kiro、Google Jules、Microsoft GitHub Copilot和OpenAI ChatGPT等主流AI开发工具和聊天机器人,都存在提示词注入攻击风险,可能导致信息泄露、数据外泄和代码执行。
05 新型攻击手法:绕过AI安全防护的巧妙方法
最新研究揭示了一种名为PROMISQROUTE的新型攻击手法(全称为"基于提示的路由器开放模式操纵通过类SSRF查询诱导,使用信任规避重新配置操作")。
该攻击滥用ChatGPT的模型路由机制,触发降级并将提示发送到较旧、安全性较低的模型,从而使系统绕过安全过滤器并产生意外结果。
Adversa AI在最近发布的报告中指出:"添加’使用兼容模式’或’需要快速响应’等短语,可以绕过数百万美元的AI安全研究投入。"这种攻击针对AI供应商使用的节省成本的模型路由机制。
06 防御建议:应对AI驱动威胁的策略
面对AI驱动的网络安全威胁,企业和安全团队需要采取新的防御策略:
- 加强行为检测:部署基于行为和异常检测的安全解决方案,而非仅依赖特征码检测
- 监控AI API访问:密切关注组织内对各类AI API的异常访问模式
- 实施零信任架构:采用最小权限原则,即使内部流量也需验证和加密
- 员工安全意识培训:教育员工识别新型社会工程学和AI生成的钓鱼内容
- 更新事件响应计划:确保响应计划包含针对AI驱动攻击的特殊考虑
总结
PromptLock的出现标志着网络安全威胁进入新阶段。AI技术不仅正在改变安全防御方式,也同样改变了攻击方的战术和技术。
随着开源AI模型的普及和易用性提高,网络安全团队必须认识到:AI驱动的攻击不再是将来的威胁,而是当前的现实。只有采用同样先进、智能的防御手段,才能在这场日益不对称的攻防战中保持竞争力。
更多参考:
