Специалисты компании Eset выявили первую в мире программу-вымогатель со встроенной языковой моделью искусственного интеллекта. Программа, получившая название PromptLock, использует модель с открытым исходным кодом gpt-oss-20b от OpenAI локально через API Ollama для создания вредоносных скриптов на Lua на лету прямо на зараженном компьютере. Эти скрипты выполняют сканирование файловой системы зараженного компьютера, фильтруют ценные данные и приступают к их шифрованию или краже.

Особенность такого подхода — универсальность получаемого кода. Созданные ИИ скрипты работают идентично на платформах Windows, Linux и macOS. Это избавляет создателей вируса от необходимости адаптировать его под каждую операционную систему отдельно, что в свою очередь затрудняет его обнаружение.

Скорее всего, PromptLock на данный момент не является полностью функциональным, вероятно, это либо вредоносный софт на стадии разработки, либо концепт такого софта от некого исследователя, отмечают в ESET. На это указывают несколько факторов: примитивный алгоритм шифрования файлов, незавершенность функций удаления данных и отсутствие следов широкого распространения.

Детальный анализ кода PromptLock выявил, что один из промптов содержит адрес биткоин-кошелька, предположительно принадлежащего Сатоши Накамото. Это псевдоним загадочного создателя первой криптовалюты, личность которого остается неизвестной. Эксперты полагают, что это может быть некой данью уважения к человеку со стороны создателей вируса, но также может быть отвлекающим маневром.

Появление подобных вирусов говорит о новом этапе в развитии киберугроз, где ИИ становится инструментом уже не только защиты, но и атаки. В качестве мер противодействия специалисты рекомендуют использовать EDR-системы, ориентированные на поведенческий анализ, внедрять мониторинг сетевых туннелей и блокировать подозрительные соединения, а также применять белые списки приложений, контроль исполнения скриптов, поддерживать офлайн-бэкапы и процедуры быстрой изоляции зараженных машин.