纽约大学开发出首个“AI勒索软件”，主流杀软无法识别

上个月，安全厂商ESET在VirusTotal上发现一段异常的Golang代码，并将其命名为PromptLock，宣称这是首个“AI驱动的勒索软件”。该样本不仅包含文件系统扫描、数据外泄、勒索信生成等功能指令，还通过提示注入操纵开源版本的ChatGPT参与攻击，引发了业界震动。

然而近日，纽约大学坦顿工程学院（NYU Tandon School of Engineering）的研究团队公开承认，这段代码正是他们为科研目的所编写的概念验证样本。换句话说，ESET所谓的“野外发现”，其实是一场学术实验的“意外曝光”。

在随附的论文中，NYU研究者将该项目称为“勒索软件3.0”。与传统恶意代码不同，它并不依赖硬编码逻辑，而是将自然语言提示嵌入二进制文件，由大模型在运行时动态生成恶意载荷。这意味着，每次执行时都可能出现不同的变体，具备更强的规避性和多态性。研究团队强调，这是首个展示闭环大模型主导的勒索攻击流程的工作：从侦察、载荷生成到个性化勒索，均可实现自动化。

NYU博士生Md Raz解释称，之所以启动该研究，是因为团队认为“勒索软件正不断进化，加密技术日益复杂，而AI能力也在飞速提升”，两者结合必然带来全新威胁。他透露，PromptLock的开发仅依赖开源工具、商用硬件和几块GPU，但依然产生了极具威胁的效果。事实上，该样本上传至VirusTotal后，一度逃过所有主流杀毒引擎的检测。

出于安全考量，NYU团队并未公开完整的攻击脚本和行为信号，仅在学术场合分享部分实验结果。即便如此，这项研究仍然引起了巨大关注。一方面，ESET随后更新声明，承认其为学术产物，但坚持认为这是首个“实证化”的AI勒索软件案例；另一方面，业界担忧，一旦类似思路被地下黑产照搬，现有防御体系恐难以招架。

事实上，PromptLock并非孤例。就在上月，Anthropic披露其Claude模型曾被黑客大规模滥用，用于渗透政府、医疗和宗教组织网络，甚至自动生成心理学定制化的勒索话术。这说明，大模型在被“越狱”后，极易沦为低门槛的攻击助手。

过去几年，拜登政府曾要求AI公司强化安全防护，避免模型被直接用于网络攻击。然而随着特朗普重新入主白宫，AI产业政策重心转向产业竞争，完全摒弃AI安全监管，部分新发布的大模型几乎不再内置安全约束，简单的提示攻击就能绕过限制。因此，AI勒索软件的诞生并不让人感到意外。

参考链接：

https://arxiv.org/abs/2508.20444v1

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。