文章总结： CheckPointResearch揭示VoidLink是首个有记录的AI生成高级恶意软件。攻击者因服务器配置不当泄露了开发文档与源码，证实其利用TRAESOLOAI助手及规范驱动开发，仅一周内即完成功能迭代并达8.8万行代码。这标志着AI辅助开发显著降低了高级恶意软件的制造门槛，使个人开发者能匹敌资源充足的黑客团队。 综合评分： 82 文章分类： 恶意软件,AI安全,威胁情报

VoidLink云恶意软件表现出明显的AI生成特征

Rhinoer Rhinoer

犀牛安全

2026年2月1日 00:01 北京

最近发现的以云为中心的 VoidLink 恶意软件框架据信是由一个人借助人工智能模型开发的。

Check Point Research上周发布了有关 VoidLink 的详细信息，将其描述为一个高级 Linux 恶意软件框架，提供自定义加载器、植入程序、用于规避的 rootkit 模块以及数十个扩展其功能的插件。

研究人员强调了该恶意软件框架的复杂性，并评估认为它很可能是“精通多种编程语言”的中国开发人员的作品。

Check Point 的研究人员在今天发布的后续报告中表示，“有明确证据表明，该恶意软件主要是通过人工智能驱动的开发而产生的”，并在一周内达到了功能迭代。

结论是基于 VoidLink 开发人员多次操作安全 (OPSEC) 失误，这些失误暴露了源代码、文档、冲刺计划和内部项目结构。

攻击者的一个失误是其服务器上存在一个暴露的开放目录，该目录存储了开发过程中的各种文件。

Check Point 告诉 BleepingComputer：“VoidLink 的开发很可能始于 2025 年 11 月下旬，当时它的开发者转向了 TRAE SOLO，这是一个嵌入在 TRAE 中的 AI 助手，TRAE 是一个以 AI 为中心的 IDE（集成开发环境）。”

尽管研究人员无法访问 IDE 中的完整对话历史记录，但他们在攻击者的服务器上发现了来自 TRAE 的帮助文件，其中包含“提供给模型的原始指导的关键部分”。

”Check Point研究组经理Eli Smadja告诉我们：这些由TRAE生成的文件似乎与源代码一起被复制到了攻击者的服务器上，后来由于一个暴露的开放目录而曝光。这次泄露让我们得以异常直接地了解该项目的早期指令。

根据分析，攻击者使用规范驱动开发 (SDD) 来定义项目目标和设定约束，并让 AI 生成涵盖架构、迭代和标准的多团队开发计划。

恶意软件开发者随后将该文档用作人工智能生成代码的执行蓝图。

生成的文档描述了一个由三个团队在 16-30 周内完成的项目，但根据 Check Point 发现的时间戳和测试工件时间戳，VoidLink 在一周内就已经可以运行，到 2025 年 12 月初，代码量已达到 88,000 行。

在这一发现之后，Check Point 验证了冲刺规范和恢复的源代码几乎完全匹配，研究人员也成功重现了工作流程，证实 AI 代理可以生成与 VoidLink 的结构非常相似的代码。

Check Point 表示，该代码库的来源“几乎没有疑问”，并将 VoidLink 描述为第一个有记录的由人工智能生成的高级恶意软件示例。

研究人员认为，VoidLink 标志着一个新时代的到来，在这个时代，一个拥有强大技术知识的恶意软件开发者就能取得以前只有资源充足的团队才能取得的成果。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《VoidLink云恶意软件表现出明显的AI生成特征》