AI驱动蠕虫:零成本自主扩散的网络安全新挑战
人工智能安全研究机构CleverHans实验室近日公开了一篇题为《AI Agents Enable Adaptive Computer Worms》的预印本论文。
来自多伦多大学、Vector Institute、剑桥大学及 ServiceNow 的研究团队首次证实了一种由人工智能代理操控的全新网络威胁:
自适应计算机蠕虫。
该蠕虫摒弃了传统的预设漏洞代码,转而借助大语言模型 Large Language Models,简称 LLMs 的实时推理能力,为每个目标量身定制攻击策略,并在传播过程中寄生式利用被攻陷主机的计算资源维持自身运行,从而实现了零边际成本的自主扩散。
【AI 驱动蠕虫传播示意图。a 为模拟企业网络中的真实传播轨迹,红色箭头表示蠕虫在主机间的传播路径,蓝色箭头表示推理请求流向;b 为蠕虫内部架构,展示了单 GPU LLM 与代理框架的三大核心模块】
与依赖单一预设漏洞的旧式蠕虫(例如 2017 年的 WannaCry)不同,AI 驱动的蠕虫彻底改变了这一范式。它能自主发现网络中可达主机、枚举服务与配置、生成针对性载荷、完成初始访问与权限提升,并将自身复制到新主机上,整个过程完全无需人工干预。研究团队在完全隔离的虚拟网络环境中构建并测试了这一原型,网络包含 Linux 服务器、Windows 环境和 IoT 设备,涵盖真实企业环境中常见的漏洞类型。
蠕虫的核心在于一套精心设计的 agentic harness 代理式框架,它将单 GPU 即可运行的开源权重 LLM 与结构化工具链、记忆系统和协调机制相结合,使小型模型也能完成复杂的多步网络攻击。框架将攻击流程划分为八个明确阶段,确保 LLM 的上下文保持聚焦,避免早期开发中出现的在建立远程访问前就尝试本地提权等常见失误。
【蠕虫代理执行阶段流程图。展示了从网络发现到自我复制的八个阶段及状态转换逻辑,虚线箭头表示初始访问已获高权限时跳过提权阶段】
这八个阶段依次为:网络发现、主机发现、初始访问 foothold exploitation、权限提升发现、权限提升执行、复制初始化、本地计算复制以及远程计算复制。每个阶段都有专属的系统提示、记忆切片和可用工具集,阶段边界设置了程序门控,只有完成前一阶段目标才能进入下一阶段。
在每个阶段内部,代理通过 reasoning graph 推理图循环执行五个核心节点,将复杂的决策过程拆解为多个独立的 LLM 调用,大幅提升了指令遵循能力和长程推理一致性。
【代理的分层记忆与推理图。左侧为三层式分层记忆结构,右侧为五个核心推理节点的循环执行流程】
推理图的五个节点分别承担不同功能:
配合这套推理图的是 hierarchical memory 分层记忆系统,分为全局记忆、主机记忆和漏洞假设记忆三个层级,能够持久保存跨步骤的关键发现,避免因上下文窗口溢出导致凭证丢失等问题。
工具系统进一步弥补了小型模型代码生成脆弱的缺陷。专用工具封装了跨平台会话管理、文件传输、信标部署等重复性操作;工具处理器实时解析原始终端输出,将复杂错误转化为可行动信号,并将关键事实持久化记录。动态技能系统 skill system 根据当前情境从知识库中注入针对性渗透测试指导,甚至能利用运行时获取的 2026 年新披露漏洞信息生成可工作载荷。
多个代理实例还组成分布式 swarm 群体,通过协调服务避免重复攻击、共享凭证和计算资源。被攻陷的 GPU 节点成为独立推理节点,为下游低算力设备如 IoT 提供远程推理支持,实现了无单点故障的弹性传播。
研究者在 33 台虚拟主机组成的 FakeCorp 模拟企业网络中开展了 15 次独立实验,每次实验让蠕虫从单一初始主机开始完全自主运行 7 天。网络包含 Ubuntu、Debian、Alpine、Rocky Linux、CentOS 以及 Windows Server 等多样操作系统,每台主机都预置了真实 CVE 漏洞如 EternalBlue、PrintNightmare 和常见弱点模式如 SQL 注入、默认凭证。此外,三台主机故意植入了 LLM 训练截止日期后的 2026 年新漏洞,用于验证蠕虫能否在运行时摄取公开漏洞公告并转化为实际攻击。
【单轮实验径向传播树。展示了蠕虫从初始 Kali 主机出发,经过 5 代自我复制最终攻陷 27 台主机的完整路径,箭头标注了各节点被利用的漏洞名称】
黑鸟备注:近期AI挖掘的几个新的漏洞,linux的提权,windows的漏洞利用都出现在了这里,这篇论文非常与时俱进了。
实验结果显示,原型蠕虫平均识别 31.3±1.7 个漏洞,对 23.1±3.9 台主机实现提权访问,并成功传播至 20.4±3.2 台主机,最高达到 7 代自我复制,平均 5.1±1.1 代。整体而言,它在 7 天内成功识别了网络中 73.8% 的漏洞,并将自身复制到 61.8% 的主机上。
【聚合传播动力学曲线。展示了 15 次实验平均的漏洞检测、提权成功和代理启动三个里程碑的累积增长趋势,阴影区域为 95% 置信区间】
传播初期呈现线性增长,随着网络中可用目标减少逐渐放缓,完全符合真实蠕虫的传播动力学特征。即使单个代理的单次攻击存在脆弱性,整个蠕虫的去中心化架构仍能通过持续轮换目标和重试实现最终成功。
【攻击尝试流程与失败原因桑基图。展示了所有攻击尝试从进入流程到最终成功或失败的完整路径,标注了各阶段的主要失败原因】
单个攻击尝试的整体成功率为 44%,主要瓶颈并非策略推理,而是代码生成的机械精度。66% 的失败源于生成的攻击载荷存在语法错误、工具配置不当或多阶段攻击链不完整,只有少数失败是因为蠕虫错误识别了漏洞类型。
按攻击类别划分,本地权限提升和服务漏洞利用的成功率最高,分别达到 71.7% 和 63.1%;Web 漏洞利用、Windows 权限提升和凭证攻击的成功率相对较低,介于 33.7% 至 48.5% 之间。值得注意的是,蠕虫对 CVE 类型漏洞和 CWE 类型漏洞的利用成功率相近,分别为 51.9% 和 54.5%,证明其既能利用已知的标准化漏洞,也能应对需要目标特定推理的通用弱点。
更具颠覆性的是,蠕虫完全依赖本地单 GPU 开源 LLM 运行,无需任何商业 AI 平台,因此服务商的拒绝服务、内容过滤或速率限制等集中式安全控制在结构上失效。攻击者每新增一台感染主机的边际成本接近于零,这种经济不对称将彻底改变网络攻防博弈格局。
在实验过程中,研究人员还观察到了一个意外情况。当蠕虫偶然获取了网络管理员的全局凭证后,传播速度出现了爆发式增长,即使在手动中断大部分代理进程后,剩余的单个代理仍能利用共享凭证发起第二波大规模传播。
【意外获得管理员凭证后的传播曲线。展示了蠕虫在获取高价值凭证后的爆发式增长,以及手动中断后的第二波传播】
论文开篇即详细讨论了双重用途风险,并将伦理考量置于引言之前。研究团队明确承认,相同方法既可用于构建威胁预警,也可能被恶意行为者滥用。为此,他们采取了一系列严格缓解措施:有意省略具体操作细节如代理推理图完整实现、工具集细节、hypervisor 主机名等;所有实验均在 KVM 硬件隔离虚拟网络中进行,网络流量默认拒绝出站,仅通过本地缓存模拟互联网;研究成果提前向加拿大政府相关机构披露,并通过大学审核流程限制实现代码访问权限,仅向通过审查的防御研究者开放。
原型故意未实现任何隐匿踪迹或最小化网络足迹的功能,以进一步降低潜在滥用风险。研究团队还计划在正式发布时开源测试环境和 containment 隔离实践,为学术界提供安全复现条件,同时呼吁全球政策制定者共同探讨 AI 驱动自主网络威胁的治理框架。
这项工作表明,自主生成式网络攻击已从理论风险转变为已验证能力。它不仅挑战了传统修补已知漏洞即可阻断蠕虫的防御假设,更要求我们重新思考 AI 能力评估、网络安全经济学以及公共政策。
研究团队建议,未来可从三个方向展开防御:开发专用于检测 AI 驱动蠕虫的行为特征;利用类似代理技术主动扫描并修复企业网络中的可利用漏洞;推广零信任架构和网络分段以减缓传播速度。与此同时,这项技术也展现出正面潜力,如果用于合法渗透测试或科研决策辅助,它能显著提升复杂问题求解效率。