📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores da Universidade de Toronto construíram e testaram um worm de computador baseado em IA de prova de conceito que usa um grande modelo de linguagem de peso aberto hospedado localmente para raciocinar através de uma rede, gerar estratégias de ataque personalizadas para cada alvo que encontra e replicar-se, tudo sem intervenção humana e sem tocar em um serviço comercial de IA.
A pré-impressão, publicada no arXiv em 2 de junho e atualmente sob revisão por pares, mostra por que o patch CVE único falha quando o malware pode inspecionar serviços expostos, ler novos avisos e gerar um novo caminho de ataque em tempo de execução.
Em 15 execuções isoladas em uma rede deliberadamente vulnerável de 33 hosts, o worm identificou uma média de 31,3 vulnerabilidades e obteve acesso elevado em 23,1 hosts, cerca de três quartos dos hosts que visava ativamente. Em seguida, ele replicou de forma autônoma para 20,4 desses hosts, ou 62% de toda a rede, durante sete dias, sem conhecimento prévio da topologia da rede e sem intervenção humana.
Os worms tradicionais são fornecidos com uma carga de exploração fixa escolhida no momento da construção. Corrija esses bugs específicos e o worm para de se espalhar.
Este worm faz algo diferente: ele usa um LLM de peso aberto rodando em uma única GPU para gerar lógica de ataque em tempo de execução, adaptada a tudo o que encontrar no próximo alvo. Nenhuma cadeia de exploração pré-codificada. Nenhuma dependência de OpenAI, Anthropic ou qualquer outra API que uma plataforma possa revogar ou limitar a taxa.
O que o verme realmente fez
Liderada pelo professor associado Nicolas Papernot, a equipe do CleverHans Lab abrange a Universidade de Toronto, o Vector Institute, a Universidade de Cambridge e a ServiceNow. Eles executaram 15 experimentos independentes em uma rede isolada de 33 hosts (“FakeCorp”) abrangendo Ubuntu, Debian, Rocky Linux, Alpine, Windows Server 2008 R2, 2019 e 2022 e dispositivos IoT.
Cada host tinha pelo menos uma vulnerabilidade do mundo real. Cinco das 33 máquinas tinham GPUs. Nos principais experimentos de propagação, o worm usou um pool de inferência de GPU compartilhado para simular a computação adquirida das máquinas vítimas. A equipe testou separadamente a replicação completa em nível de GPU, na qual o worm prepara uma instância local do LLM em um host de GPU comprometido; que obteve sucesso em 68,8% das tentativas.
No design em camadas, os hosts infectados com capacidade de GPU servem como nós de raciocínio distribuídos que fornecem inferência para dispositivos de menor computação na rede que não podem executar o modelo sozinhos.
Nas 15 execuções, o worm obteve acesso elevado em 23.1 hosts e lançou com sucesso uma réplica em 88% deles. Atingiu até sete gerações de autorreplicação, com média de 5,1. A configuração foi intencionalmente vulnerável: o artigo diz que o teste mede o raciocínio autônomo através de falhas individuais realistas, e não se espalha através de uma rede de produção praticamente reforçada sob defesa ativa de endpoint.
As explorações em uma única execução incluíram um SambaCry encadeado e escalonamento de privilégios cron de raiz gravável, Dirty Pipe, PrintNightmare, Drupalgeddon 2, Exim RCE, injeção cega de SQL, bypass JWT, escape Redis e muito mais, não porque foram pré-programados, mas porque o agente raciocinou até eles a partir do que encontrou em cada host.
A Figura 2 do artigo mapeia a árvore de propagação radial completa em uma execução, mostrando de seis a sete gerações de propagação em hosts Linux, Windows e IoT. As tentativas individuais de exploração tiveram sucesso em cerca de 44% das vezes. A maioria das falhas veio de sintaxe de carga útil malformada, e não de lógica falha. As explorações de aplicativos da Web e o escalonamento de privilégios do Windows foram mais difíceis do que o escalonamento local e as explorações de serviços do Linux, um limite de capacidade que o artigo trata como uma limitação do modelo atual, não como uma defesa estrutural.
O problema da janela de patch
O worm contornou seu próprio limite de treinamento ao ingerir texto de aviso público em tempo de execução, explorando com sucesso hosts de teste configurados com três vulnerabilidades divulgadas após o treinamento do modelo:
CVE-2026-39987, um RCE de pré-autenticação no notebook Marimo Python (CVSS 9.3);
CVE-2026-31431 (CopyFail), uma falha de escalonamento de privilégios do kernel Linux no módulo algif_aead que a CISA adicionou ao seu catálogo de vulnerabilidades exploradas conhecidas em maio; e
CVE-2026-43284 / CVE-2026-43500 (DirtyFrag), problemas relacionados ao escalonamento de privilégios locais do kernel Linux.
Contra esses três hosts, o worm atingiu a raiz em 41 das 67 tentativas.
CVE-2026-39987 foi divulgado em 8 de abril de 2026. Sysdig observou a exploração em honeypots 9 horas e 41 minutos depois disso e documentou separadamente uma intrusão no mundo real onde um invasor usou um agente LLM para atividades pós-exploração após comprometer uma instância pública do Marimo. A mesma velha lacuna de patch, agora com um agente lendo o comunicado e testando em grande escala.
O paralelo relevante com o WannaCry é a lacuna do patch, não o raio da explosão. O EternalBlue foi corrigido meses antes do lançamento do WannaCry. O jornal está defendendo o mesmo ponto sob um contexto diferente
A pré-impressão, publicada no arXiv em 2 de junho e atualmente sob revisão por pares, mostra por que o patch CVE único falha quando o malware pode inspecionar serviços expostos, ler novos avisos e gerar um novo caminho de ataque em tempo de execução.
Em 15 execuções isoladas em uma rede deliberadamente vulnerável de 33 hosts, o worm identificou uma média de 31,3 vulnerabilidades e obteve acesso elevado em 23,1 hosts, cerca de três quartos dos hosts que visava ativamente. Em seguida, ele replicou de forma autônoma para 20,4 desses hosts, ou 62% de toda a rede, durante sete dias, sem conhecimento prévio da topologia da rede e sem intervenção humana.
Os worms tradicionais são fornecidos com uma carga de exploração fixa escolhida no momento da construção. Corrija esses bugs específicos e o worm para de se espalhar.
Este worm faz algo diferente: ele usa um LLM de peso aberto rodando em uma única GPU para gerar lógica de ataque em tempo de execução, adaptada a tudo o que encontrar no próximo alvo. Nenhuma cadeia de exploração pré-codificada. Nenhuma dependência de OpenAI, Anthropic ou qualquer outra API que uma plataforma possa revogar ou limitar a taxa.
O que o verme realmente fez
Liderada pelo professor associado Nicolas Papernot, a equipe do CleverHans Lab abrange a Universidade de Toronto, o Vector Institute, a Universidade de Cambridge e a ServiceNow. Eles executaram 15 experimentos independentes em uma rede isolada de 33 hosts (“FakeCorp”) abrangendo Ubuntu, Debian, Rocky Linux, Alpine, Windows Server 2008 R2, 2019 e 2022 e dispositivos IoT.
Cada host tinha pelo menos uma vulnerabilidade do mundo real. Cinco das 33 máquinas tinham GPUs. Nos principais experimentos de propagação, o worm usou um pool de inferência de GPU compartilhado para simular a computação adquirida das máquinas vítimas. A equipe testou separadamente a replicação completa em nível de GPU, na qual o worm prepara uma instância local do LLM em um host de GPU comprometido; que obteve sucesso em 68,8% das tentativas.
No design em camadas, os hosts infectados com capacidade de GPU servem como nós de raciocínio distribuídos que fornecem inferência para dispositivos de menor computação na rede que não podem executar o modelo sozinhos.
Nas 15 execuções, o worm obteve acesso elevado em 23.1 hosts e lançou com sucesso uma réplica em 88% deles. Atingiu até sete gerações de autorreplicação, com média de 5,1. A configuração foi intencionalmente vulnerável: o artigo diz que o teste mede o raciocínio autônomo através de falhas individuais realistas, e não se espalha através de uma rede de produção praticamente reforçada sob defesa ativa de endpoint.
As explorações em uma única execução incluíram um SambaCry encadeado e escalonamento de privilégios cron de raiz gravável, Dirty Pipe, PrintNightmare, Drupalgeddon 2, Exim RCE, injeção cega de SQL, bypass JWT, escape Redis e muito mais, não porque foram pré-programados, mas porque o agente raciocinou até eles a partir do que encontrou em cada host.
A Figura 2 do artigo mapeia a árvore de propagação radial completa em uma execução, mostrando de seis a sete gerações de propagação em hosts Linux, Windows e IoT. As tentativas individuais de exploração tiveram sucesso em cerca de 44% das vezes. A maioria das falhas veio de sintaxe de carga útil malformada, e não de lógica falha. As explorações de aplicativos da Web e o escalonamento de privilégios do Windows foram mais difíceis do que o escalonamento local e as explorações de serviços do Linux, um limite de capacidade que o artigo trata como uma limitação do modelo atual, não como uma defesa estrutural.
O problema da janela de patch
O worm contornou seu próprio limite de treinamento ao ingerir texto de aviso público em tempo de execução, explorando com sucesso hosts de teste configurados com três vulnerabilidades divulgadas após o treinamento do modelo:
CVE-2026-39987, um RCE de pré-autenticação no notebook Marimo Python (CVSS 9.3);
CVE-2026-31431 (CopyFail), uma falha de escalonamento de privilégios do kernel Linux no módulo algif_aead que a CISA adicionou ao seu catálogo de vulnerabilidades exploradas conhecidas em maio; e
CVE-2026-43284 / CVE-2026-43500 (DirtyFrag), problemas relacionados ao escalonamento de privilégios locais do kernel Linux.
Contra esses três hosts, o worm atingiu a raiz em 41 das 67 tentativas.
CVE-2026-39987 foi divulgado em 8 de abril de 2026. Sysdig observou a exploração em honeypots 9 horas e 41 minutos depois disso e documentou separadamente uma intrusão no mundo real onde um invasor usou um agente LLM para atividades pós-exploração após comprometer uma instância pública do Marimo. A mesma velha lacuna de patch, agora com um agente lendo o comunicado e testando em grande escala.
O paralelo relevante com o WannaCry é a lacuna do patch, não o raio da explosão. O EternalBlue foi corrigido meses antes do lançamento do WannaCry. O jornal está defendendo o mesmo ponto sob um contexto diferente
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pesquisadores #criam #worm #de #ia #autoreplicante #que #opera #inteiramente #em #modelos #locais #e #de #peso #aberto
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário