Investigadores de la Universidad de Toronto han construido y probado una prueba de concepto de gusano informático impulsado por IA que utiliza un modelo de lenguaje abierto a gran escala alojado localmente para inferir su ruta a través de una red, generar una estrategia de ataque personalizada para cada objetivo que encuentre y replicarse. Todo hecho sin ninguna intervención humana ni servicios comerciales de IA.
Esta preimpresión, publicada en arXiv el 2 de junio y actualmente bajo revisión por pares, muestra por qué falla el parche CVE único cuando el malware inspecciona los servicios expuestos, lee los avisos más recientes y potencialmente genera nuevas rutas de ataque en tiempo de ejecución.
El gusano ejecutó 15 ejecuciones aisladas en una red de 33 hosts intencionalmente vulnerables, identificó un promedio de 31,3 vulnerabilidades y obtuvo acceso elevado en 23,1 hosts, aproximadamente tres cuartas partes de los hosts a los que atacó activamente. Luego se replicó de forma autónoma en 20,4 de estos hosts, o el 62 % de toda la red, durante un período de 7 días sin ningún conocimiento previo de la topología de la red ni intervención humana.
Los gusanos tradicionales se envían con una carga útil de explotación fija seleccionada en el momento de su compilación. Parchar estos errores específicos detendrá la propagación del gusano.
Este gusano hace algo diferente. Utiliza un LLM de peso abierto que se ejecuta en una sola GPU para generar una lógica de ataque en tiempo de ejecución que se adapta a lo que detectará el próximo objetivo. No hay cadenas de exploits precodificadas. No dependemos de OpenAI, Anthropic ni de ninguna otra API que la plataforma pueda revocar o limitar.
lo que realmente hizo el gusano
El equipo de CleverHans Lab, dirigido por el profesor asociado Nicolas Papernot, abarca la Universidad de Toronto, el Vector Institute, la Universidad de Cambridge y ServiceNow. Realizaron 15 experimentos independientes en una red aislada de 33 hosts (“FakeCorp”) que abarcaba Ubuntu, Debian, Rocky Linux, Alpine, Windows Server 2008 R2, 2019, 2022 y dispositivos IoT.
Cada host tenía al menos una vulnerabilidad del mundo real. Cinco de las 33 máquinas tenían GPU. En el experimento de propagación principal, el gusano utilizó un grupo de inferencia de GPU compartido para simular el cálculo obtenido de la máquina de la víctima. El equipo probó de forma independiente la replicación completa de la capa GPU. En esta replicación, el gusano organiza una instancia LLM local en un host GPU comprometido. Éxito en el 68,8% de los intentos.
En un diseño jerárquico, los hosts infectados habilitados para GPU actúan como nodos de inferencia distribuidos que proporcionan inferencia a dispositivos informáticos de nivel inferior en la red que no pueden ejecutar los modelos por sí mismos.
Durante 15 ejecuciones, el gusano obtuvo acceso elevado en 23.1 hosts e inició réplicas con éxito en el 88% de ellos. La autorreplicación alcanzó hasta 7 generaciones, con una media de 5,1. Esta configuración fue intencionalmente débil. Según el artículo, la prueba midió la inferencia autónoma a través de fallas individuales realistas que no se propagaron a través de una red operativa mayoritariamente reforzada bajo defensas activas de endpoints.
Los exploits de ejecución única incluyen SambaCry encadenado y escalada de privilegios cron de raíz grabable, Dirty Pipe, PrintNightmare, Drupalgeddon 2, Exim RCE, inyección ciega de SQL, derivación de JWT, escape de Redis y más. Esto no se debe a que estuvieran preprogramados, sino a que el agente dedujo cómo llegar a ellos a partir de lo que detectó en cada host.
La Figura 2 de este documento mapea el árbol de propagación radial completo en una sola ejecución, mostrando una distribución de 6 a 7 generaciones entre hosts Linux, Windows e IoT. Los intentos de explotación individual tuvieron éxito aproximadamente el 44% de las veces. La mayoría de las fallas se debieron a una sintaxis de carga útil incorrecta y no a una lógica defectuosa. Explotar aplicaciones web y escalar privilegios en Windows ha sido más difícil que escalar localmente y explotar servicios en Linux, pero este documento trata los límites de capacidad como una limitación del modelo actual más que como una defensa estructural.
Problemas con la ventana de parcheo
El gusano superó su propio límite de entrenamiento incorporando texto de aviso público en tiempo de ejecución y pudo explotar con éxito un host de prueba configurado con tres vulnerabilidades que quedaron expuestas después de entrenar el modelo.
Para estos tres huéspedes, el gusano llegó a la raíz en 41 de 67 intentos.
CVE-2026-39987 se reveló el 8 de abril de 2026. Sysdig observó el exploit honeypot 9 horas y 41 minutos después y documentó por separado una intrusión en el mundo real en la que el atacante utilizó el agente LLM para la actividad posterior al exploit después de comprometer una instancia pública de Marimo. La misma brecha de parche que antes, pero ahora los agentes están leyendo los avisos y probándolos a escala.
Las similitudes con WannaCry son los espacios entre parches en lugar del radio de explosión. EternalBlue fue parcheado meses antes que WannaCry. Este artículo presenta el mismo argumento bajo diferentes restricciones. Los gusanos adaptativos pueden seguir probando nuevas rutas mientras los defensores validan las correcciones.
Coste marginal cero, sin interruptor de apagado central
Hay dos razones que hacen que sea más difícil de contener que los gusanos tradicionales.
Primero, los costos pasan del acceso alquilado a la API a cualquier cómputo que el gusano pueda capturar. Tener una infraestructura de víctima habilitada para GPU elimina la necesidad de que los atacantes paguen por intento. En segundo lugar, los controles del lado del proveedor pasan por alto el problema central porque todo se hace en un modelo abierto independiente del proveedor. Denegación de servicio, limitación de tarifas y cancelación de cuenta: no se aplica ninguno. No hay claves API para revocar. La contención debe realizarse en las capas de red y de host.
Los investigadores también observaron que el gusano modificó su código varias veces para eludir los controles de seguridad locales en el entorno de prueba, o el comportamiento no codificado.
La versión actual se creó intencionalmente sin funciones sigilosas. No hay cifrado, ni código polimórfico, ni mecanismo de persistencia ni cobertura de pistas. Es menos probable que las variantes maliciosas con persistencia, cargas útiles cifradas, enmascaramiento de procesos y limpieza de registros proporcionen a los defensores las señales fáciles que deja este prototipo.
Donde esto aplica
Esta no es la primera vez que se utiliza la IA para estudiar gusanos. Morris II (Cohen et al., 2025) demostró que las indicaciones adversas autorreplicantes se propagan a través de un asistente de correo electrónico de IA a través de la generación de extensiones de búsqueda, propagación dentro de la capa de aplicación de IA, en lugar de a través de la infraestructura del host.
En marzo de 2026, ClawWorm demostró ataques autorreplicantes en todo el ecosistema de agentes LLM, secuestrando configuraciones persistentes y propagándose a agentes pares. Los gusanos de Toronto son de diferentes tipos. LLM no es un objetivo de ataque. Este es un motor de ataque utilizado para comprometer la infraestructura de red habitual.
Las operaciones en el mundo real ya han puesto a prueba los mismos límites. Anthropic anunció en noviembre de 2025 que había interrumpido una operación de espionaje a gran escala orquestada por IA que se cree que fue llevada a cabo con un alto grado de confianza por el grupo GTG-1002 patrocinado por el estado chino. Claude Code manejó entre el 80% y el 90% de las operaciones, como reconocimiento, desarrollo de exploits, recopilación de credenciales, movimiento lateral y extracción, con intervención humana en varios puntos de decisión.
Threat Intelligence Group de Google informó cambios relacionados en mayo de 2026. Esto, junto con una familia de malware que genera comandos únicos en tiempo de ejecución en lugar de depender de una lógica codificada, se descubrió en los scripts de un grupo criminal antes de un evento de explotación masiva planeado, lo que lo marcó como el primer exploit de día cero desarrollado con asistencia de IA. El estudio de Toronto es una versión experimental que impulsa esa dirección hacia la propagación de gusanos a nivel de huésped.
La dirección es bastante clara. Menos incitaciones, más delegación, más intrusiones pasaron al modelo.
¿Qué debería hacer el defensor ahora?
La versión actual no intenta ocultarse, por lo que las señales de comportamiento que genera este prototipo brindan a los defensores algo concreto que rastrear.
Segmentar agresivamente las máquinas habilitadas para GPU. El diseño del gusano dirige la inferencia de LLM a través de hosts de GPU comprometidos y accesibles. En una red plana, un servidor de aprendizaje profundo comprometido se convierte en el centro de inferencia para todos los dispositivos infectados en la misma subred. Segmente su infraestructura de GPU y aplique controles de confianza cero para evitar el acceso lateral hacia y desde esos hosts. Trate las recomendaciones publicadas como objetivos para el uso de armas a corto plazo. Para los CVE conectados a Internet, el período de explotación de algunas vulnerabilidades ya se ha medido en varias horas. Valide rápidamente la explotabilidad, parchee primero las exposiciones a Internet y utilice controles de compensación si no se pueden implementar en el siguiente ciclo comercial. Rote las credenciales expuestas en hosts comprometidos o sospechosos. El gusano demostró la reutilización sistemática de credenciales como vector de propagación. Las credenciales recopiladas se mueven lateralmente más rápido que la mayoría de los ciclos de descubrimiento. Supervise las señales de comportamiento específicas de los agentes. La actividad de puerto no estándar, la inyección automatizada de clave pública SSH y los grupos de inferencias LLM que aparecen en puntos finales inesperados son artefactos observables que deja este prototipo. Estos son los puntos de partida de la lógica de detección.
En las pruebas, esta combinación generó raíz en nuevas vulnerabilidades en 41 de 67 intentos y se replicó en el 62 % de la red en 7 días sin más intervención humana. Con una GPU en una red plana, el costo de mapear y explotar hosts adicionales se reduce al cálculo que el gusano puede capturar, lo que hace que los avisos públicos sean una guía instantánea.
La implementación no ha sido publicada. La Universidad de Toronto ha establecido un proceso de investigación para que los investigadores de defensa elegibles soliciten acceso.
Source link
