HackerNews

HackerNews
在 AI 辅助下开发的 Linux 恶意软件框架,代码规模达 8.8 万行

在 AI 辅助下开发的 Linux 恶意软件框架,代码规模达 8.8 万行

作者: hackernews 日期: 2026-01-22 分类: AI安全
给文章评分:

HackerNews 编译,转载请注明出处:

 近日发现的一款高度复杂的 Linux 恶意软件框架 VoidLink,被评估为由单一开发者在AI模型辅助下完成。

这一判断来自 Check Point Research 的最新发现。研究人员指出,恶意软件作者在操作安全上的失误泄露了其开发来源线索。最新分析使 VoidLink 成为首批主要由 AI 生成的高级恶意软件实例之一。


Check Point 表示:“这些材料清楚地表明,该恶意软件主要通过 AI 驱动的开发方式完成,并在不到一周内形成首个可运行的植入体。”截至 2025 年 12 月初,其代码量已超过 88,000 行


VoidLink 于上周首次被公开披露。这是一套以 Zig 语言编写、功能丰富的恶意软件框架,专门用于对 Linux 云环境实施长期、隐蔽的控制。研究人员认为该恶意软件源自一个与中国有关的开发环境。截至目前,其具体用途尚不明确,也未发现任何真实世界中的感染案例。

AI 辅助开发的证据

云安全公司 Sysdig 的后续分析最早指出,该工具包可能是在一名具备深厚内核开发经验和红队背景的人类操控下,借助大语言模型完成的,并提出了四项关键证据:

  • 调试输出过度系统化,且在所有模块中格式完全一致

  • 诱饵响应模板中嵌入了典型 LLM 训练示例占位符(如 “John Doe”)

  • API 版本命名高度统一,全部为 _v3(如 BeaconAPI_v3docker_escape_v3timestomp_v3

  • 类模板化的 JSON 响应,几乎涵盖所有可能字段

Sysdig 指出:“最可能的情况是,一名精通中文的高技能开发者利用 AI 加速开发过程(生成样板代码、调试日志和 JSON 模板),同时由其本人提供安全专业知识和整体架构设计。”

Check Point 周二发布的报告进一步印证了这一假设,称其发现的痕迹表明:AI 不仅被用于编写代码,还被用来构建、执行和测试整个框架,使一个概念在极短时间内转化为可用工具。

VoidLink 项目的高层开发模式

Check Point 将 VoidLink 的开发方式描述为一种“规格驱动开发”(Spec Driven Development, SDD):“在这种工作流中,开发者首先明确要构建什么,然后制定计划、拆分任务,最后才让 AI 代理来执行实现。”


研究人员认为,威胁行为者在 2025 年 11 月下旬启动了 VoidLink 项目,并使用了一款名为 TRAE SOLO 的编码代理来完成任务。这一判断基于在其服务器上发现的 TRAE 生成的辅助文件,这些文件与源代码一同被复制,后来在一个暴露的开放目录中泄露。


此外,Check Point 还发现了多份用中文撰写的内部规划材料,内容涉及冲刺计划、功能拆分和编码规范,具有明显的 LLM 生成特征——结构清晰、格式统一、细节极其完善。其中一份详细的发展计划文档创建于 2025 年 11 月 27 日。


这些文档被重新用作 LLM 的执行蓝图,指导其构建并测试恶意软件。Check Point 复现了开发者使用的 TRAE IDE 工作流程,发现模型生成的代码与 VoidLink 源码高度相似。

代码与规范的高度一致

Check Point 指出:“将代码标准化指令与恢复出的 VoidLink 源码进行比对后,可以看到惊人的一致性。代码约定、结构和实现模式几乎完全吻合,几乎可以确定:整个代码库正是按照这些指令编写的。”


这一案例再次表明,AI 和 LLM 虽然未必为攻击者带来全新的能力,但正在显著降低网络犯罪的门槛。即便是单个个体,也能在极短时间内构想、创建并迭代复杂系统,实施以往只有国家级行为体才能完成的高级攻击。

AI 正在重塑网络威胁的经济学

Check Point Research 的研究经理 Eli Smadja 在接受《The Hacker News》采访时表示:“VoidLink 代表了高级恶意软件创建方式的一次真正转变。令人震惊的不只是其复杂性,而是它被构建出来的速度。AI 使得看似单一行为者也能在数天内规划、开发并迭代一个复杂的恶意软件平台——而这在过去需要协调的团队和大量资源。这清楚地表明,AI 正在改变网络威胁的规模和成本结构。”

“第五波”网络犯罪

在本周发布的一份白皮书中,Group-IB 将 AI 描述为正在推动网络犯罪演进的“第五波”,为复杂攻击提供现成工具。


报告指出,自 2019 年以来,暗网论坛中包含 AI 关键词的帖子增长了 371%。威胁行为者正在兜售诸如 Nytheon AI 等“无伦理限制”的暗黑 LLM、越狱框架,以及合成身份工具包——包括 AI 视频演员、声音克隆,甚至生物特征数据集,最低仅售 5 美元。


Group-IB 总结称:“AI 已将网络犯罪工业化。过去需要高技能和时间的事情,如今可以被购买、自动化,并在全球范围内扩展。”


前国际刑警组织网络犯罪主管、现任独立战略顾问 Craig Jones 也指出:“AI 并未创造新的犯罪动机——金钱、杠杆和访问权限仍是核心驱动力——但它极大提升了这些动机被实现的速度、规模和复杂程度。”


消息来源:thehackernews

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文