AI verandert ook de werkwijze van cybercriminelen: malware die zichzelf herschrijft, duwt cybercriminaliteit in een nieuwe fase.
Google meldt dat kwaadaardige code nu voor het eerst AI inzet om zijn gedrag tijdens de uitvoering aan te passen. Dat wil zeggen dat sommige malwarefamilies niet langer statisch zijn, maar prompts naar taalmodellen sturen om broncode te genereren en vervolgens een vernieuwde variant uit te voeren. Dat maakt het makkelijker om te evolueren en moeilijker om te verwijderen.
Voorbeelden en tactieken
Onder de onderzochte voorbeelden door BleepingComputer komt Promptflux naar boven, een Trojan Horse die malware installeert. Die stuurt Gemini aan om zijn eigen broncode te herschrijven en een kopie in de Startup-map te zetten. Andere prototypes gebruiken LLM’s om scripts te genereren die gegevens verzamelen, systemen scannen of inloggegevens te kopiëren naar openbare opslagplaatsen. De technieken van de AI-scripts zijn zo uiteenlopend dat ze voorlopig moeilijk te detecteren zijn.
Toch zegt Google dat inzichten uit deze analyses zijn gebruikt om zowel klassieke detectiemechanismen als de modellen zelf te versterken. DeepMind is aangepast om niet bij te dragen aan dit soort aanvallen en om verdachte prompts te herkennen. AI gaat dus de strijd aan tegen AI.
Verdediging evolueert mee
Klassieke malware volgt vaste routines, maar deze AI-malware is in staat om zichzelf tijdens de uitvoering te veranderen op basis van modeloutput. Dat verhoogt de reikwijdte van aanvallers en laat beveiligingsteams nadenken over hoe ze malwaredetectie ook zichzelf kan laten herschrijven en aanpassen aan de context.