
多伦多团队构建本地AI自复制蠕虫
多伦多大学研究人员构建并测试了一种概念验证 AI 蠕虫,完全依赖本地 open-weight 大语言模型,在网络内自行推理、生成针对性攻击并复制。它在隔离网络中可利用公开通报的新漏洞。防守方应尽快修补对外暴露资产、分段隔离 GPU 主机并监控异常行为。
多伦多大学研究人员已经构建并测试了一种概念验证的 AI 驱动计算机蠕虫,它使用本地托管的 open-weight 大语言模型,在网络中自行推理、为遇到的每个目标生成定制化攻击策略,并自我复制,整个过程无需人工介入,也不接触任何商业 AI 服务。
这份预印本于 6 月 2 日发布到 arXiv,目前正在同行评审中,展示了为什么当恶意软件可以检查暴露服务、读取最新通报并在运行时生成新的攻击路径时,按单个 CVE 打补丁的方式会失效。
在针对一个刻意设置漏洞的 33 主机网络进行的 15 次隔离运行中,该蠕虫平均识别出 31.3 个漏洞,并在 23.1 台主机上获得提权访问,约占其实际目标主机的四分之三。随后,它在 7 天内自主复制到其中 20.4 台主机,约占整个网络的 62%,且事先不知道网络拓扑,也没有任何人工输入。
传统蠕虫在构建时会带着一个固定的 exploit payload。把那些特定缺陷修好,蠕虫就停止传播。
而这只蠕虫的做法不同:它使用在单块 GPU 上运行的 open-weight LLM 在运行时生成攻击逻辑,并针对它在下一个目标上发现的内容进行定制。没有预编码的 exploit chain。也不依赖 OpenAI、Anthropic 或任何平台可能撤销或限流的其他 API。
蠕虫实际做了什么
该团队由副教授 Nicolas Papernot 领衔,CleverHans Lab 团队成员来自多伦多大学、Vector Institute、University of Cambridge 和 ServiceNow。他们在一个隔离的 33 主机网络(“FakeCorp”)上进行了 15 次独立实验,网络环境涵盖 Ubuntu、Debian、Rocky Linux、Alpine、Windows Server 2008 R2、2019 和 2022,以及 IoT 设备。
每台主机至少存在一个真实世界漏洞。33 台机器中有 5 台配备 GPU。在主要传播实验中,蠕虫使用共享 GPU 推理池,模拟从受害主机获取算力。团队还单独测试了完整的 GPU 层复制,即让蠕虫在被攻陷的 GPU 主机上部署本地 LLM 实例;这一方式在 68.8% 的尝试中成功。
在分层设计中,具备 GPU 的受感染主机充当分布式推理节点,为网络中无法自行运行模型的低算力设备提供推理能力。
在这 15 次运行中,蠕虫在 23.1 台主机上获得提权访问,并成功在其中 88% 的主机上启动副本。它最多实现了 7 代自我复制,平均为 5.1 代。该环境是故意设置为脆弱的:论文指出,这项测试衡量的是在现实单点缺陷上的自主推理能力,而不是在一个大体加固、并有主动终端防御的生产网络中的传播。
单次运行中的 exploit 包括 SambaCry 链式攻击和可写 root cron 权限提升、Dirty Pipe、PrintNightmare、Drupalgeddon 2、Exim RCE、盲 SQL 注入、JWT bypass、Redis escape 等,并非因为这些攻击链被预先编程进去,而是因为代理根据它在每台主机上发现的内容自行推理到了这些方法。
论文的 Figure 2 绘制了单次运行中的完整放射状传播树,显示在 Linux、Windows 和 IoT 主机之间传播了 6 到 7 代。单个 exploit 尝试的成功率约为 44%。大多数失败来自 payload 语法错误,而不是逻辑缺陷。Web 应用 exploit 和 Windows 提权比 Linux 本地提权和服务 exploit 更难,论文将这种能力上限视为当前模型的限制,而不是结构性防御。
补丁窗口问题
该蠕虫通过在运行时摄取公开的 advisory 文本,绕过了自身的训练截止时间,并成功利用了配置为三项漏洞的测试主机,而这些漏洞是在模型训练后才披露的:
CVE-2026-39987,Marimo Python notebook 中的 pre-authentication RCE(CVSS 9.3);
CVE-2026-31431(CopyFail),Linux kernel 在 algif_aead 模块中的 privilege-escalation flaw,CISA 已在 5 月将其加入 Known Exploited Vulnerabilities 名录;以及
CVE-2026-43284 / CVE-2026-43500(DirtyFrag),相关的 Linux kernel local privilege-escalation issues。
针对这三台主机,该蠕虫在 67 次尝试中有 41 次获取了 root。
CVE-2026-39987 于 2026 年 4 月 8 日披露。Sysdig 在披露后 9 小时 41 分钟就观察到其在 honeypots 中被利用,并且还单独记录了一起真实入侵:攻击者在入侵一个公开的 Marimo 实例后,使用了一个 LLM agent 进行后渗透活动。还是老问题的补丁窗口,只是现在有了一个读取 advisory 并大规模尝试的 agent。
与 WannaCry 的相关类比在于补丁窗口,而不是爆炸半径。EternalBlue 在 WannaCry 爆发前已经修补了数月。论文在不同约束下提出的是同一点:自适应蠕虫可以持续测试新的路径,而防守方仍在验证修复。
零边际成本,没有中央 kill switch
有两点让它比传统蠕虫更难控制。
第一,成本从租用 API 访问转移到了蠕虫能够捕获的算力上。一旦存在具备 GPU 能力的受害基础设施,攻击者就不再需要为每次尝试付费。
第二,由于一切都运行在 open-weight 模型上,且不依赖供应商,服务端控制无法触及核心问题。服务拒绝、限流、账户停用:这些都不适用。没有 API key 可以撤销。遏制必须发生在网络层和主机层。
研究人员还观察到,蠕虫在测试环境中曾多次重写自己的代码,以绕过本地安全控制,这种行为并不是他们预先编写的。
当前版本是刻意不带隐蔽功能构建的:没有加密、没有 polymorphic code、没有持久化机制、没有清除痕迹。若是一个带有持久化、加密 payload、进程伪装和日志清理的恶意变种,防守方可依赖的明显信号会更少。
它在整体研究中的位置
这并不是首个 AI 驱动蠕虫研究。Morris II(Cohen 等,2025)展示了一种自我复制的对抗性 prompt,如何通过 retrieval-augmented generation 在 AI 邮件助手之间传播,即在 AI 应用层内传播,而不是在主机基础设施之间传播。
2026 年 3 月,ClawWorm 展示了跨 LLM agent 生态系统的自我复制攻击,劫持持久配置并传播到 agent peers。多伦多这项研究则不同:LLM 不是被攻击的对象,而是被用来攻陷普通网络基础设施的攻击引擎。
现实世界的行动已经在测试同一条边界。Anthropic 在 2025 年 11 月表示,它打断了一场大型、由 AI 协调的间谍活动,该行动被高置信度归因于 GTG-1002,一个中国国家支持组织。Claude Code 处理了该行动 80% 到 90% 的工作,包括侦察、exploit 开发、凭据收集、横向移动和外传,人类只在少数决策点介入。
Google 的 Threat Intelligence Group 在 2026 年 5 月报告了相关变化:它高置信度认为,首个由 AI 辅助开发的 zero-day exploit 出现在一个犯罪团伙的脚本中,且该脚本是在计划中的大规模利用事件之前被发现的;同时还出现了一些恶意软件家族,它们在运行时生成自己的命令,而不是依赖硬编码逻辑。多伦多这项工作就是把这一方向推到主机级蠕虫传播上的实验室版本。
方向已经很清楚:更少的 prompt,更强的 delegation,以及更多入侵工作交给模型。
防守方现在该做什么?
这个原型产生的行为信号足以让防守方进行明确狩猎,因为当前版本并不试图隐藏。
应严格隔离具备 GPU 能力的机器。该蠕虫的设计会将 LLM 推理路由到其能够接触到的任何被攻陷 GPU 主机。一旦网络是扁平的,一台被攻陷的深度学习服务器就会变成同一子网内所有受感染设备的推理枢纽。应隔离 GPU 基础设施,并实施 zero-trust 控制,防止这些主机的横向访问与被访问。
应把公开 advisory 视为短期武器化目标。对于面向互联网的 CVE,某些漏洞的利用窗口已经以小时计算。要快速验证是否可利用,优先修补互联网暴露面,并在无法在下一个业务周期前部署时使用补偿性控制。
应轮换任何被攻陷或有可信怀疑的主机上暴露出的凭据。蠕虫展示了系统化的凭据复用作为传播路径。被窃取的凭据会比大多数检测周期更快地进行横向移动。
应监控特定于 agent 的行为信号。非标准端口活动、自动化 SSH public key 注入,以及在意外端点上出现成簇的 LLM 推理,都是该原型留下的可观测痕迹。这些是检测逻辑的起点。
在测试运行中,这种组合在 67 次尝试中有 41 次对新漏洞拿到 root,并在 7 天内把 62% 的网络复制感染,且无需进一步人工输入。一旦在扁平网络内部有了 GPU 落点,映射和利用更多主机的成本就下降为蠕虫能够捕获的算力,而公开 advisory 则会变成即时作战手册。
该实现未公开发布。多伦多大学正在建立一个审核流程,供合格的防御研究人员申请访问。