文章总结： CheckPoint披露首个由单人借助AI在一周内完成的88,000行模块化恶意软件VoidLink，集成eBPF与LKMrootkit、云枚举及容器后渗透模块，其规范驱动开发流程与复杂度堪比APT，标志AI生成高阶恶意软件时代已至，攻防门槛被显著降低。 综合评分： 92 文章分类： 恶意软件,AI安全,威胁情报,漏洞分析,安全大事件

---

Check Point：VoidLink代表了人工智能恶意软件的未来

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月21日 09:04 湖北

导读

Check Point 研究人员发现一种高级恶意软件，他们表示该恶意软件主要由一个人使用人工智能创建，这是快速发展的技术将如何改变网络威胁的产生方式的一个早期例子。

该恶意软件名为“VoidLink”，在早期开发阶段就被检测到，从未用于实际攻击，但其设计和构建速度异常之快，结构复杂且模块化，便于快速演变，最初看起来像是出自一个规模更大、资金更雄厚的恶意行为者团队之手。

研究人员在本周的一份报告中写道：“冲刺时间表与我们的观察结果不符。我们亲眼目睹了恶意软件的功能扩展速度远远超过文档所暗示的速度。”

对恶意软件检测到的痕迹进行深入分析后发现，人工智能模型被用于创建和协调 VoidLink 的开发计划，并且该模型可能被用于构建、运行和测试该框架。

他们写道：“由于人工智能生成的文档通常非常详尽，因此许多此类文档都带有时间戳，而且信息异常丰富。这些文档表明，在不到一周的时间里，很可能是一个人就将 VoidLink 从概念发展成为一个可运行且不断发展的现实。”

研究人员在随附的博客文章中写道，VoidLink 的意义远不止于检测一种新的恶意软件。

他们写道：“这标志着威胁形势正在发生更广泛的转变。人工智能生成恶意软件的时代不再是推测，而是已经到来，并且正在快速发展。”

过去三年多来，威胁组织迅速采用并利用生成式人工智能（如今更进一步，发展出人工智能代理）进行攻击。他们使用这些技术的方式与企业类似，用于自动化简单的任务，或者——就他们而言——修改现有的恶意软件。

Check Point 的研究人员指出，迄今为止，大多数人工智能编写的恶意软件质量低下，要么出自技术水平较低的恶意行为者之手，要么与开源工具极为相似。

VoidLink 代表着一次重大飞跃。该恶意软件基于成熟、功能强大且高效的架构以及灵活动态的运行模型构建而成。它还集成了 eBPF 和 LKM rootkit 等技术，以及用于云枚举和容器环境下后渗透的模块。

人工智能在恶意软件中的应用日趋成熟

研究人员写道：“其复杂程度表明，当人工智能落入有能力的开发者手中时，它能够显著提升制造严重攻击能力的速度和规模。虽然VoidLink并非完全由人工智能策划的攻击，但它表明人们期待已久的由人工智能生成的复杂恶意软件时代可能已经到来。在经验丰富的攻击者或恶意软件开发者手中，人工智能可以构建出复杂、隐蔽且稳定的恶意软件框架，其效果堪比由老练的威胁组织所创建的恶意软件。”

2025年11月，人工智能公司Anthropic的研究人员报告了类似的情况。他们写道，一个威胁组织利用该公司的Claude Code智能体人工智能开发工具开展了一场间谍活动，其中人工智能自动化了80%到90%的工作，只有少数决策点需要人工干预。

人类学研究所的研究人员也发出了类似的警告，他们写道：“实施复杂网络攻击的门槛已经大幅降低——我们预测这种情况还会继续下去。”

VoidLink概览

VoidLink 的开发始于 2025 年 11 月下旬，当时开发者选择了 TRAE SOLO，这是 TRAE（一个基于 AI 的集成开发环境 (IDE)）中的一个 AI 助手，它会自动生成辅助文件，这些文件似乎已与源代码一起复制到了攻击者的服务器上。

恶意软件开发者似乎预计VoidLink的开发需要30周的工程周期，但一份测试样本的时间戳显示为12月4日——项目启动一周后——而且到那时，该恶意软件的代码量已超过88,000行。

当Check Point的研究人员发现并开始分析该恶意软件时，其编译版本已经提交给了VirusTotal。

他们写道，黑客采用了规范驱动开发 (SDD) 方法，生成了一个结构化的多团队开发计划，包括冲刺计划、规范和交付物，然后将其重新制作成执行蓝图，该模型可能遵循该蓝图来实现、迭代和测试恶意软件。

对恶意软件开发的特殊可见性

研究人员还发现了开发者犯下的错误，这些错误暴露了开发过程中的痕迹，他们利用这些痕迹来确定 VoidLink 主要是由人工智能生成的。

“我们对 VoidLink 的调查留下了许多悬而未决的问题，其中一个问题令人深感不安。”他们写道。“我们之所以能够揭露其真实的开发历程，是因为我们难得有机会窥探开发者的环境，这种机会几乎从未有过。这就引出了一个问题：还有多少其他复杂的恶意软件框架也是利用人工智能构建的，但却没有留下任何痕迹？”

CheckPoints官方博客：

《VoidLink标志着人工智能生成恶意软件新时代的开始》

https://blog.checkpoint.com/research/voidlink-signals-the-start-of-a-new-era-in-ai-generated-malware/

《VoidLink：高级人工智能恶意软件时代已经来临的证据》

https://research.checkpoint.com/2026/voidlink-early-ai-generated-malware-framework/

新闻链接：

VoidLink Represents the Future of AI-Developed Malware: Check Point

今日安全资讯速递

APT事件

Advanced Persistent Threat

Check Point：VoidLink代表了人工智能恶意软件的未来

VoidLink Represents the Future of AI-Developed Malware: Check Point

与朝鲜有关联的黑客通过恶意 VS Code 项目攻击开发者

https://thehackernews.com/2026/01/north-korea-linked-hackers-target.html

英国政府警告称，与俄罗斯有关联的黑客组织仍在对其关键基础设施发动DDoS攻击

UK NCSC warns of Russia-linked hacktivists DDoS attacks

一般威胁事件

General Threat Incidents

基于 Telegram 的非法洗钱平台土豆担保已停止交易

Telegram-based illicit billionaire marketplace Tudou Guarantee stopped transactions

PDFSIDER恶意软件——利用DLL侧加载规避杀毒软件和EDR

PDFSIDER Malware – Exploitation of DLL Side-Loading for AV and EDR Evasion

威胁组织利用谷歌广告，通过 TamperedChef 将 PDF 编辑器武器化

Threat Actors Leverage Google Ads to Weaponize PDF Editor with TamperedChef

SolyxImmortal恶意软件滥用Discord悄悄窃取敏感信息

SolyxImmortal Malware Abuses Discord to Quietly Harvest Sensitive Information

Pulsar RAT 利用仅内存执行和 HVNC 实现隐蔽远程访问

Pulsar RAT Using Memory-Only Execution & HVNC to Gain Invisible Remote Access

Remcos RAT 伪装成 VeraCrypt 安装程序窃取用户登录凭证

Remcos RAT Masquerade as VeraCrypt Installers Steals Users Login Credentials

研究发现，GPT-5.2 能够可靠地大规模开发零日漏洞利用程序

New Study Finds GPT-5.2 Can Reliably Develop Zero-Day Exploits at Scale

KongTuke 使用伪造的 Chrome 广告拦截器安装了 ModeloRAT

ClickFix to CrashFix: KongTuke Used Fake Chrome Ad Blocker to Install ModeloRAT

勒索软件团伙使用的APT级PDFSider恶意软件

https://www.securityweek.com/apt-grade-pdfsider-malware-used-by-ransomware-groups/

Gootloader恶意软件检测率低，可绕过大多数安全工具

Gootloader Malware With Low Detection Rate Evades Most Security Tools

印度音乐流媒体平台Raaga证实发生重大数据泄露事件

Raaga Confirms Major Data Breach Exposing Personal Information of 10.2Million Users 

Evelyn Stealer恶意软件滥用VS Code扩展程序窃取开发者凭据和加密信息

https://thehackernews.com/2026/01/evelyn-stealer-malware-abuses-vs-code.html

韩国警方捣毁泰国语音钓鱼团伙

https://www.cybermaterial.com/p/police-bust-thai-based-voice-phishing

Everest勒索软件组织声称已入侵麦当劳印度公司

Everest Ransomware Group Allegedly Claims to Have Breached McDonald’s India

RansomHouse 声称苹果主要承包商立讯精密发生数据泄露事件

RansomHouse Claims Data Breach at Major Apple Contractor Luxshare

漏洞事件

Vulnerability Incidents

iOS 和 iPadOS 的新漏洞使数百万部 iPhone 面临风险

New iOS and iPadOS Flaws Leave Millions of iPhones at Risk

微软修复了 Windows 远程协助漏洞（CVE-2026-20824）

New Windows Flaw Lets Attackers Bypass Mark of the Web

WhisperPair漏洞(VE-2025-36911)攻击允许在未经用户同意的情况下劫持笔记本电脑和耳机

WhisperPair Attack Allows Hijacking of Laptops, Earbuds Without User Consent – Millions Affected

WordPress插件漏洞使超过10万个网站面临权限提升攻击风险

WordPress Plugin Vulnerability Exposes 100,000+ Sites to Privilege Escalation Attacks

Cloudflare修复了ACME验证漏洞，该漏洞允许绕过WAF访问源服务器

https://thehackernews.com/2026/01/cloudflare-fixes-acme-validation-bug.html

Apache Airflow漏洞导致敏感数据泄露

Apache Airflow Vulnerabilities Enables Expose of Sensitive Data

Apache bRPC 漏洞可导致远程命令注入

Apache bRPC Vulnerability Enables Remote Command Injection

AVEVA软件存在严重缺陷，允许攻击者以系统权限远程执行代码

Critical AVEVA Software Flaws Allow Remote Code Execution With SYSTEM Privileges

Google Gemini漏洞允许通过日历事件访问私人会议详情

Google Gemini Flaw Allows Access to Private Meeting Details Through Calendar Events

TP-Link VIGI摄像头存在严重缺陷，导致监控系统被远程控制

Critical TP-Link VIGI camera flaw allowed remote takeover of surveillance systems

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《Check Point：VoidLink代表了人工智能恶意软件的未来》