AI 生成恶意软件变种，安全检测面临新挑战

安全最新动向：近日，网络安全研究人员发现，利用大型语言模型（LLM）可以大规模生成恶意 JavaScript 代码的新变种，从而更有效地逃避检测。

Palo Alto Networks Unit 42 研究人员在一份新的分析报告中指出：“虽然 LLM 难以从头开始创建恶意软件，但犯罪分子可以轻松地使用它们来重写或混淆现有的恶意软件，使其更难被发现。犯罪分子可以提示 LLM 执行看起来更自然的转换，这使得检测此类恶意软件更具挑战性。”

随着时间的推移，这种方法可以通过足够的转换来降低恶意软件分类系统的性能，诱使它们相信一段恶意代码实际上是良性的。

尽管 LLM 提供商越来越多地实施安全防护措施，防止其失控并产生意外输出，但仍有不法分子将 WormGPT 等工具作为自动化流程进行宣传，以制作针对潜在目标的令人信服的钓鱼邮件，甚至创建新型恶意软件。

早在 2024 年 10 月，OpenAI 就披露，它阻止了 20 多起试图利用其平台进行侦察、漏洞研究、脚本支持和调试的行动和欺骗性网络。

Unit 42 表示，他们利用 LLM 的力量迭代重写现有的恶意软件样本，目的是避开机器学习 (ML) 模型（如 Innocent Until Proven Guilty (IUPG) 或 PhishingJS）的检测，从而有效地为创建 10,000 个新的 JavaScript 变种铺平道路，而无需改变其功能。

这种对抗性机器学习技术旨在使用各种方法转换恶意软件——即变量重命名、字符串拆分、垃圾代码插入、删除不必要的空格以及代码的完全重新实现——每次将其作为输入输入系统时。

该公司表示：“最终输出是恶意 JavaScript 的新变种，它保持了原始脚本的相同行为，同时几乎总是具有低得多的恶意评分。”该公司补充说，这种贪婪算法将其自身的恶意软件分类器模型的判决从恶意翻转为良性，翻转率高达 88%。

更糟糕的是，这种重写的 JavaScript 代码在上传到 VirusTotal 平台时，也能逃避其他恶意软件分析器的检测。

基于 LLM 的混淆提供的另一个关键优势是，它的许多重写看起来比 obfuscator.io 等库实现的重写自然得多，后者由于引入对源代码进行更改的方式，更容易被可靠地检测和识别。

Unit 42 表示：“在生成式 AI 的帮助下，新的恶意代码变种的规模可能会增加。但是，我们可以使用相同的策略来重写恶意代码，以帮助生成可以提高 ML 模型鲁棒性的训练数据。”

此前，来自北卡罗来纳州立大学的一组学者设计了一种名为 TPUXtract 的侧信道攻击，以 99.91% 的准确率对 Google Edge Tensor Processing Units (TPU) 进行模型窃取攻击。然后，这可能会被利用来促进知识产权盗窃或后续网络攻击。

研究人员表示：“具体来说，我们展示了一种超参数窃取攻击，可以提取所有层配置，包括层类型、节点数量、内核/过滤器大小、过滤器数量、步幅、填充和激活函数。最值得注意的是，我们的攻击是第一个可以提取以前未见过模型的全面攻击。”

这种黑盒攻击的核心是在神经网络推理进行时捕获 TPU 发出的电磁信号（这是运行离线 ML 模型的计算强度带来的后果），并利用它们来推断模型超参数。但是，它取决于攻击者能否物理访问目标设备，更不用说拥有昂贵的设备来探测和获取痕迹。

该研究的作者之一 Aydin Aysu 表示：“因为我们窃取了架构和层细节，所以我们能够重建 AI 的高级特征。然后，我们利用这些信息来重建功能性 AI 模型，或者说是该模型的一个非常接近的替代模型。”

原文始发于微信公众号（技术修道场）：AI 生成恶意软件变种，安全检测面临新挑战