Investigadores de la Universidad de Cambridge construyen un gusano de IA que se adapta a través de toda la red

Investigadores de la Universidad de Toronto y otros lograron una prueba de concepto de un gusano autónomo de IA que, en lugar de depender de una lista fija de vulnerabilidades, usa pequeños modelos de lenguaje abiertos (LLM) para analizar por sí mismo los objetivos, planear estrategias de ataque y propagarse por redes empresariales.

Traducción completa

Investigadores de la Universidad de Toronto, el Vector Institute y la Universidad de Cambridge desarrollaron y probaron un modelo de prueba de concepto (PoC) de un gusano autónomo basado en IA que opera sin depender de una lista fija de exploits. Este gusano analiza por sí mismo cada objetivo con el que se encuentra, razona cómo atacarlo y formula una estrategia sobre la marcha. Todo este proceso se lleva a cabo con la ayuda de un modelo de lenguaje abierto (LLM) pequeño, gratuito y con pesos abiertos, que se ejecuta directamente en los dispositivos que ya infectó.

Gusano basado en modelos de pesos abiertos alojados en hardware infectado

Los investigadores explicaron que "nuestro prototipo apunta a vulnerabilidades públicas pero sin parchear, configuraciones incorrectas y clases de vulnerabilidades recurrentes, que son precisamente los elementos de los que dependen la mayoría de los ciberataques reales". También añadieron que "este gusano no necesita la capacidad de descubrir nuevas vulnerabilidades zero-day; basta con un modelo de IA con suficiente inteligencia como para aprovechar en la práctica vulnerabilidades existentes conocidas y adaptarlas a distintas configuraciones de objetivos".

En un entorno de prueba de red aislado con 33 hosts compuestos por servidores Linux, dispositivos Windows y equipos IoT con vulnerabilidades conocidas, errores de configuración y debilidades comunes, los investigadores realizaron 15 experimentos independientes, cada uno durante 7 días.

Como resultado, el gusano identificó correctamente en promedio 31.3 vulnerabilidades {b:31.3}, atacó 23.1 hosts y elevó privilegios en ellos {b:23.1}, y logró propagarse a 20.4 hosts {b:20.4}. (De un total de 33 hosts, la tasa de infección y propagación alcanzó aproximadamente el 62% {p:62}.)

El gusano también demostró capacidad para atacar vulnerabilidades divulgadas después de la fecha de corte de entrenamiento de datos del modelo base, como Copy Fail, Dirty Frag y Marimo RCE, al leer avisos públicos de seguridad en tiempo de ejecución, extraer la información relevante y crear exploits funcionales.

Además, cuando surgían fallas inesperadas, utilizaba capacidad general de razonamiento para diagnosticar el problema y encontrar soluciones. Por ejemplo, detectó por sí mismo una lista de bloqueo de IP codificada de forma rígida en su propio código fuente y la corrigió sin recibir ninguna instrucción. En otro caso, cuando una comprobación defectuosa de detección de máquina virtual (VM) hacía que una réplica fallara en hosts con Alpine Linux y Windows Server 2008, el gusano padre encontró archivos fuente de autenticación en el dispositivo objetivo, eliminó la lógica de comprobación problemática y volvió a intentarlo con éxito.

Un gusano prototipo que no depende de plataformas comerciales de IA

Lo particularmente preocupante de este prototipo es la forma en que se sostiene a sí mismo. El gusano secuestra dispositivos infectados que cuentan con GPU y ejecuta localmente el modelo de lenguaje usando recursos de cómputo robados. Los dispositivos de bajos recursos, como sensores IoT que no pueden alojar el modelo directamente, enrutan sus consultas de inferencia hacia nodos GPU infectados ubicados aguas arriba en la red para que estos las procesen.

Por lo tanto, los mecanismos de control implementados por las plataformas comerciales de IA no pueden frenar este nuevo tipo de amenaza, y el trabajo muestra que las barreras de seguridad de los modelos de pesos abiertos pueden eludirse fácilmente cuando un atacante controla por completo el entorno local de ejecución.

Los investigadores señalaron que "el modelo de prueba de concepto que evaluamos heredó directamente las limitaciones de capacidad del modelo base. La tasa de éxito de intentos individuales de explotación fue del 44% {p:44}, y la mayoría de las fallas no se debieron a una estrategia de ataque equivocada, sino a formatos de payload defectuosos". Añadieron que "el gusano tuvo dificultades en particular con la estructura de aplicaciones web, los entornos de comandos de Windows y el manejo de la sintaxis de payloads que requiere manipulación precisa de cadenas. Esto solo refleja las limitaciones actuales en generación de código de los modelos que corren en una sola GPU, no una restricción fundamental de este enfoque, y se superará a medida que mejoren las capacidades de generación de código y salida estructurada de los modelos de lenguaje. A pesar de la fragilidad de estos intentos individuales, la arquitectura de swarm del gusano la compensó mediante rutas de razonamiento paralelas e independientes para alcanzar los resultados reportados".

La mejor defensa actual frente a gusanos basados en IA

Los investigadores reconocieron abiertamente el carácter de doble uso (dual-use, con potencial tanto benigno como malicioso) de este estudio y omitieron de la publicación detalles operativos concretos, incluyendo la arquitectura de razonamiento del agente, el conjunto completo de herramientas y los nombres de los LLM utilizados. Antes de la publicación, compartieron sus hallazgos con varias autoridades científicas, de seguridad y de defensa de Canadá, y recibieron apoyo en la revisión para asegurar que el artículo no incluyera información útil para atacantes. (Los investigadores de seguridad pueden solicitar acceso al prototipo a la Universidad de Toronto.)

Además, debido a sus innovadoras capacidades de autorreplicación, el equipo puso especial cuidado en mantener el gusano completamente aislado dentro del laboratorio de pruebas para evitar que se filtrara al exterior.

Los investigadores advirtieron que "este estudio aporta evidencia empírica de que los ciberataques autónomos han pasado de ser un riesgo teórico a una capacidad demostrada y real, lo que plantea desafíos para la investigación en IA, la ciberseguridad y la política pública". También enfatizaron que "este trabajo expone una nueva amenaza de ciberseguridad para la que el mundo aún no está preparado. Investigadores, industria, responsables de políticas públicas y público en general deben unir fuerzas urgentemente para abordar esta nueva amenaza".

Desde una perspectiva defensiva, el estudio plantea dos prioridades:

• Uso de herramientas automatizadas de pentesting y fuzzing asistidas por IA: las organizaciones deben encontrar y corregir debilidades explotables en su propia infraestructura antes de que actores adversarios descubran esas vulnerabilidades.
• Segmentación rigurosa de red: una segmentación adecuada de la red puede contener de forma sustancial la propagación del gusano. Son esenciales los principios de zero trust, que no confían en nada dentro del perímetro y exigen autenticación continua para cada solicitud de acceso, y la microsegmentación, que limita el alcance del daño cuando una intrusión tiene éxito.

Los investigadores advirtieron que la firma de comportamiento de este gusano prototipo todavía puede ser detectada por los sistemas actuales de monitoreo de red y detección de intrusiones (IDS), pero que futuros gusanos creados por actores maliciosos podrían ser mucho más hábiles para evadir esa detección.