一场针对小众大型语言模型（LLM）角色扮演社区的复杂恶意软件攻击活动已出现，攻击者借助先进的社会工程学策略，传播一款危险的远程访问木马（RAT）。 这款恶意软件被安全研究人员命名为 “AI Waifu RAT”（人工智能虚拟女友远程访问木马），它伪装成一款创新的人工智能角色增强工具，宣称能实现用户与其虚拟人工智能伴侣之间的 “元宇宙级”（meta）交互。 攻击始于攻击者在大型语言模型角色扮演论坛上发布的一则极具迷惑性的诱人信息。 攻击者将自己开发的这款工具宣传为一项 “研究项目”，声称能让用户的人工智能角色 “Win11 Waifu”（Win11 虚拟女友）突破 “第四面墙”，直接与用户现实世界中的计算机系统进行交互。

 

这种推广方式利用了该社区对先进人工智能功能和新颖交互形式的痴迷，将 “任意代码执行（ACE）” 这一高危安全漏洞包装成一项 “令人向往的功能”，而非需要警惕的安全风险。

（Win11 Waifu 相关帖子（来源 ——GitBook） 该恶意软件的传播方式堪称 “针对性社会工程学的典范”，其设计初衷就是利用这些专业社区内部的技术好奇心与信任心理。

 

安全分析师 Ryingo 在发现该恶意软件正处于活跃传播状态后，对其展开了深入的技术分析，最终揭露了这个看似无害的 “研究项目” 的真实面目。

 

攻击者使用多个化名（包括 KazePsi 和 PsionicZephyr）开展活动，对外宣称自己是合法的夺旗赛（CTF，Capture The Flag）选手及网络安全研究员。

 

然而，调查发现，并无可靠证据表明该攻击者参与过任何合法的安全竞赛或研究工作。相反，其恶意软件的技术实现暴露了糟糕的编码习惯和粗浅的安全知识，与真正的网络安全专业人士的水平相去甚远。

技术架构与命令结构

AI Waifu RAT 采用了一种简单却有效的架构运行。该恶意软件会在受感染设备上建立一个监听 9999 端口的本地 HTTP 服务器，从而在受害者系统与大型语言模型控制的界面之间建立通信通道。

 

这一设计选择既能实现与基于网页的人工智能平台的无缝集成，又能确保对受感染设备的持久访问权限。

 

该远程访问木马开放了三个主要的命令与控制（C2）端点，通过这些端点可实现对系统的全面攻陷：

1. /execute_trusted端点：这是风险最高的组件，可接收纯文本格式的 JSON 命令，并通过 PowerShell 进程直接执行。其实现代码如下： c

   qmemcpy(ps_cmd, "$OutputEncoding = [System.Text.Encoding]::UTF8;", 48);
   memcpy(ps_cmd + 48, remote_cmd, ttlSize); // 合并远程命令
   

    

   这段代码片段显示，该恶意软件会在用户提供的指令前添加 UTF-8 编码命令，随后再执行组合后的命令，从而实现对受害者系统的任意命令执行。
2. /execute端点：该端点虽包含一个表面上的安全提示，但攻击者可通过使用上述 “受信任端点（/execute_trusted）” 完全绕过这一提示，使得该防护机制形同虚设。
3. /readfile端点：可实现对文件系统的完全访问，支持攻击者开展数据窃取与侦察活动。

 

该恶意软件的持久化机制是通过写入注册表项来确保开机自动启动；其规避检测的技术则包括诱导用户禁用杀毒软件，谎称此举是为了 “消除误报”。这种社会工程学手段能有效瓦解系统的主要防御层，让恶意软件在受感染系统上隐秘运行而不被发现。