Onderzoekers van de Universiteit van Toronto hebben een prototype van een computerworm ontwikkeld die wordt aangedreven door een AI-agent en zich succesvol autonoom repliceert binnen een gesimuleerd computernetwerk. Deze worm maakt gebruik van een gratis lokaal draaiend groot taalmodel (LLM) en benut een combinatie van oudere en nieuwe kwetsbaarheden, evenals veelvoorkomende misconfiguraties in bedrijfsnetwerken. Hiermee tonen zij aan dat aanvallers geen geavanceerde AI-modellen zoals Anthropic’s Mythos nodig hebben om controle te krijgen over netwerken.

De worm identificeert zelfstandig unieke zwakke plekken per apparaat, waaronder recent ontdekte kwetsbaarheden en hergebruikte wachtwoorden, en exploiteert deze om rekenkracht te kapen. Zo kan het reguliere apparaten zoals laptops en camera’s overnemen en zichzelf verspreiden naar servers en netwerken om data te stelen of nieuwe aanvallen te lanceren. Volgens het rapport van het CleverHans Lab gebeurde dit zonder gebruik te maken van de nieuwste en krachtigste AI-modellen, wat benadrukt dat er geen enkele verdedigingslinie bestaat tegen deze nieuwe dreiging.

De onderzoekers bouwden een agent-achtig raamwerk om de beperkingen van lokaal draaiende LLMs, die kleinere contextvensters en minder geavanceerde instructievolging hebben, te compenseren. Dit raamwerk verdeelt complexe taken in fasen en stappen die door meerdere sub-agents parallel worden uitgevoerd, waarbij resultaten worden gedeeld via een hiërarchisch geheugensysteem. Dit systeem omvat ook tools die veelvoorkomende acties automatiseren en contextbewuste pentest-ondersteuning bieden, evenals coördinatie tussen meerdere agenten. Deze aanpak is vergelijkbaar met bestaande open-source projecten zoals RAPTOR en SecOpsAgentKit, die al langer worden ingezet voor kwetsbaarheidsonderzoek en penetratietests.

Dit onderzoek benadrukt dat het gebruik van betaalde AI-modellen via API’s juist een zwakte kan zijn voor autonome kwaadaardige systemen, omdat pogingen om veiligheidsmaatregelen te omzeilen snel worden gedetecteerd en geblokkeerd. De bevindingen tonen aan dat zelfs met beperkte middelen en zonder toegang tot de nieuwste AI-technologieën, geautomatiseerde aanvallen op bedrijfsnetwerken mogelijk zijn en dat er geen eenvoudige verdedigingsstrategie tegen bestaat.