开发周期不到7天,VoidLink问世:首款全人工智能驱动的恶意软件

admin
admin
admin
0
文章
0
评论
2026-01-23 11:23:49 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: VoidLink是利用AI规范驱动开发构建的云原生Linux恶意软件,仅用7天完成极高复杂度开发。它具备eBPFrootkit及云环境枚举能力,标志着AI显著加速了威胁民主化。建议安全团队主动加固云容器环境,部署高级检测,并审计CI/CD流程以防范AI辅助开发的高隐蔽性恶意软件。 综合评分: 90 文章分类: 恶意软件,AI安全,云安全,威胁情报

cover_image

开发周期不到7天,VoidLink 问世:首款全人工智能驱动的恶意软件

原创

数说安全 数说安全

数说安全

2026年1月22日 11:32 辽宁

2025年12月,网络安全研究机构CPR发现了此前未见的Linux恶意软件样本:VoidLink。

泄露的开发资料显示:该恶意软件使用了”规范驱动开发”(Spec Driven Development, SDD)这一AI方法论生成——即开发者创建详细的功能规范、架构设计和冲刺排期表,由AI模型作为蓝图进行实现。

VoidLink 项目高级概述(来源 – cpr)。

VoidLink是一个云原生Linux植入体,采用Zig编程语言开发,专门针对现代基础设施环境设计。其核心能力包括:

  • 高级rootkit功能:利用eBPF和可加载内核模块(LKM)实现深层系统控制。
  • 云环境枚举模块:自动识别AWS、GCP、Azure、阿里云、腾讯云等主流云服务商。
  • 凭证收割:窃取云特定凭证和元数据API信息。
  • 容器环境后渗透工具:针对容器化基础设施优化。
  • 多通道C&C通信:支持HTTP/HTTPS、ICMP、DNS隧道、P2P网格通信等多种方式。

VoidLink的隐蔽机制尤为先进,采用自适应规避技术——能根据检测到的安全产品实时调整运行行为,优先保证运维安全而非性能效率。

令人震惊的是VoidLink的开发速度几乎可以说是“神速”。泄露的开发工件显示,开发者使用了TRAE SOLO AI助手(嵌入在AI中心IDE中)进行开发。最早的时间戳为2025年11月27日,当时规划了一个为期20周的工程计划,分为三个开发团队:核心团队负责Zig开发,武器库团队负责C语言开发,后端团队负责Go语言开发。

然而,框架仅用7天就实现了基本功能。 一份12月4日的测试工件确认,VoidLink已扩展至超过88,000行代码。这意味着原计划20周的工程量被压缩到了7天完成。

规范中描述的代码头(左)与实际源代码(右)的比较(源代码 – cpr)。

在这个开发项目里,AI的工作远超简单编码——包括生成完整的项目规范、冲刺计划和代码规范。当CPR使用相同IDE和规范复制这一工作流程时,AI模型成功再生成了与VoidLink实际源代码相匹配的代码结构和架构,进一步验证了这一方法的可行性。

VoidLink配备了一个针对中文使用者本地化的仪表板界面,可通过网页对所有植入体、代理和插件进行完整控制。

框架内置37个默认插件,分为以下类别:

  • 信息侦察
  • 凭证窃取
  • 持久化机制
  • 容器逃逸技术
  • 反取证工具

VoidLink的插件系统仿效Cobalt Strike Beacon的设计理念,允许威胁行为者在运行时部署自定义模块并动态扩展功能。

VoidLink证明了一个令人警惕的事实:

当经验丰富的开发者利用AI辅助时,AI能够显著加速高度复杂的恶意软件的开发。

以前只有充分资源的专业黑客组织才能开发的复杂度等级框架,如今单个个体借助AI协助就能实现。这标志着网络威胁的民主化进入了一个新阶段——个人的能力被无限放大。

这意味着安全团队应当立即:

  1. 主动加固 :Linux、云和容器环境
  2. 部署高级检测能力,预防类似AI生成框架(特别是那些运维安全做得更好、可能逃脱检测的变种)
  3. 审计CI/CD流程,防止开发管道被恶意利用
  4. 增强云原生安全,特别是凭证管理和元数据隐保
  5. 监控异常的代码生成活动,识别AI辅助开发的恶意行为

VoidLink事件的意义不仅在于一个具体恶意软件的出现,而在于它标志着一个转折点:AI正在成为网络威胁链条上的关键使能技术

与其说VoidLink本身有多危险,不如说它暴露了一个更深层的风险——当攻击者能够利用AI来缩短开发周期、提升代码复杂度、自动化漏洞利用时,防守方面临的困境将会更加严峻。

内容参考:https://gbhackers.com/ai-driven-malware/  原作者:Mayura Kathir

(2026.01.22数说安全发布)

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:数说安全 数说安全 数说安全《开发周期不到7天,VoidLink 问世:首款全人工智能驱动的恶意软件》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0