ケンブリッジ大学の研究チーム、ネットワーク全体に適応するAIワームを構築

トロント大学の研究チームなどが、固定された脆弱性リストの代わりにオープンウェイトの小型言語モデル（LLM）を活用し、自ら標的を分析して攻撃戦略を立て、企業ネットワーク内を伝播する自律型AIワーム（Worm）の概念実証に成功しました。

全文翻訳

トロント大学、ベクター研究所、ケンブリッジ大学の研究チームは、固定されたエクスプロイト（脆弱性攻撃）リストに依存せずに動作する自律型AIベースのワームの概念実証（PoC）モデルを開発し、テストしました。このワームは、遭遇する各標的を自ら分析し、どのように攻撃するかを推論し、その場で戦略を立てます。これらすべての過程は、すでに感染させた機器上で直接動作する無料の小型オープンウェイト言語モデル（LLM）の助けによって行われます。

感染済みハードウェア上でホストされるオープンウェイトモデルベースのワーム

研究チームは「私たちのプロトタイプは、公開されているが未修正の脆弱性、誤設定、そして繰り返し現れる脆弱性クラスを標的としており、これは実際のサイバー攻撃の大半が依存している要素だ」と説明しました。また「このワームは新たなゼロデイ脆弱性を発見する能力を必要とせず、多様な標的構成に合わせて既存の脆弱性を現場で活用できるだけの知能を持つAIモデルがあれば十分だ」と付け加えました。

既知の脆弱性、設定ミス、一般的な弱点を持つLinuxサーバー、Windows機器、IoTデバイスで構成された33台のホストを含む隔離テストネットワーク環境で、研究チームは15回の独立した実験を実施し、各実験は7日間にわたって実行されました。

実験の結果、このワームは平均して31.3件の脆弱性を正確に特定し {b:31.3}、23.1台のホストを攻撃して権限昇格を行い {b:23.1}、20.4台のホストへの伝播に成功しました {b:20.4}。（全33台のホストのうち、感染および伝播率は約62%に達します {p:62}。）

このワームは、ベースモデルの学習データのカットオフ以後に公開された脆弱性（Copy Fail、Dirty Frag、Marimo RCE など）についても、実行時に公開セキュリティ勧告を読み取って情報を把握し、動作可能なエクスプロイトを作成することで攻撃に成功する能力を示しました。

さらに、予期しない失敗が発生した際には一般的な推論能力を使って診断し、解決策を見つけ出しました。たとえば、自身のソースコードにハードコードされたIPブロックリストを自ら発見し、何の指示もなく修正したケースがありました。別の事例では、仮想マシン（VM）検知チェックのバグにより Alpine Linux と Windows Server 2008 のホストで複製体がクラッシュすると、親ワームが標的機器上で認証用ソースファイルを見つけ出して問題のあるチェックロジックを削除し、その後正常に再試行しました。

商用AIプラットフォームに依存しないプロトタイプワーム

このプロトタイプが特に懸念されるのは、自らを維持する仕組みにあります。ワームは感染させた機器のうちGPUを搭載したデバイスをハイジャックし、盗んだ計算資源で言語モデルをローカル実行します。モデルを直接ホストできないIoTセンサーのような低性能デバイスは、推論クエリをネットワーク上流にある感染済みGPUノードへルーティングして処理します。

そのため、商用AIプラットフォームが構築してきた統制措置では、この新しいタイプの脅威を防ぐことはできず、攻撃者がローカル実行環境を完全に制御する場合、オープンウェイトモデルの安全ガードレールが容易に回避され得ることを示しています。

研究チームは「私たちが評価した概念実証モデルは、ベースモデルの能力上の限界をそのまま引き継いでいた。個々のエクスプロイト試行の成功率は44%であり {p:44}、失敗原因の大半は誤った攻撃戦略というより、欠陥のあるペイロード形式にあった」と述べました。続けて「ワームは特にWebアプリケーション構造、Windowsコマンド環境、そして精密な文字列操作を必要とするペイロード構文の処理において困難を抱えていた。これは現世代の単一GPUモデルが持つコード生成の限界を反映しているにすぎず、このアプローチ自体の根本的制約ではない。今後、言語モデルのコード生成および構造化出力能力が向上するにつれて克服されるだろう。このような個別試行の脆さにもかかわらず、ワームのスウォーム（Swarm）アーキテクチャは並列かつ独立した推論経路によってそれを補い、報告された結果を達成した」と説明しました。

現時点でAIベースのワームに対抗する最善の防御策

研究チームは、この研究が持つデュアルユース（Dual-use、善用と悪用の両面を持つ）という性質を率直に認め、エージェントの推論アーキテクチャ、完全なツール群、使用したLLMの名称を含む具体的な運用詳細を公開論文から除外しました。出版前には、カナダの複数の科学・安全保障・国防当局に発見内容を共有し、論文に攻撃者の助けとなり得る情報が含まれないようレビュー支援を受けました。（セキュリティ研究者はトロント大学にプロトタイプへのアクセス権を申請できます。）

また、革新的な自己複製機能のため、研究チームはワームが外部へ流出しないようテストラボ内に厳重に隔離することに特別な注意を払いました。

研究チームは「今回の研究は、自律的なサイバー攻撃が理論上のリスクから実証済みの現実的能力へ移行したことを示す実証的証拠であり、これはAI研究、サイバーセキュリティ、公共政策全体にまたがる課題だ」と指摘しました。さらに「この研究は、世界がまだ対処する準備のできていない新たなサイバーセキュリティ脅威を明らかにした。研究者、業界、政策立案者、そして一般市民がこの新たな脅威に対処するため、緊急に力を合わせなければならない」と強調しました。

防御の観点から、この研究は2つの優先事項を提示しています。

• AI支援による自動ペネトレーションテストおよびファジングツールの活用: 組織は敵対勢力が脆弱性を見つける前に、自社インフラの悪用可能な弱点を発見してパッチを適用する必要があります。
• 徹底したネットワーク分割: 適切なネットワーク分割はワームの拡散を実質的に抑制できます。境界内部のいかなるものも信頼せず、すべてのアクセス要求に対して継続的な認証を求める「ゼロトラスト（Zero-trust）」の原則と、侵入成功時に被害拡大の範囲を制限する「マイクロセグメンテーション（Micro-segmentation）」が不可欠です。

研究チームは、このプロトタイプワームの行動シグネチャは現在のネットワーク監視および侵入検知システム（IDS）で検出可能だが、将来悪意ある行為者が作る次世代ワームは、こうした検知を回避する能力がはるかに高い可能性があると警告しました。