新種のクラウドマルウェア「VoidLink」
最近発見されたクラウドに特化したマルウェアフレームワーク「VoidLink」は、単独の人間がAIモデルの助けを借りて開発したと見られています。Check Point Researchは先週、VoidLinkの詳細を公開し、カスタムローダー、インプラント、回避のためのルートキットモジュール、そしてその機能を拡張する数十のプラグインを提供する高度なLinuxマルウェアフレームワークであると説明しました。研究者たちはこのマルウェアフレームワークの高度さに注目し、「複数のプログラミング言語に強い熟練度を持つ中国人開発者の成果である可能性が高い」と評価していました。
AI開発の明確な証拠
本日発表された追加レポートで、Check Pointの研究者らは、このマルウェアが「主にAI主導の開発によって生成され、わずか1週間で機能的な反復に到達したという明確な証拠がある」と述べています。この結論は、VoidLinkの開発者による複数のオペレーションセキュリティ(OPSEC)の失敗に基づいています。これにより、ソースコード、ドキュメント、スプリント計画、および内部プロジェクト構造が露呈しました。脅威アクターの失敗の一つは、開発プロセスからの様々なファイルが保存されていたサーバー上の公開ディレクトリでした。
TRAE SOLOとSpec-Driven Development
Check PointがBleepingComputerに語ったところによると、「VoidLinkの開発は、開発者がAI中心のIDE [統合開発環境] に組み込まれたAIアシスタントであるTRAE SOLOを利用し始めた2025年11月下旬に始まった可能性が高い」とのことです。研究者たちはIDEでの完全な会話履歴にはアクセスできなかったものの、脅威アクターのサーバー上で「モデルに提供された元のガイダンスの主要部分」を含むTRAEからのヘルパーファイルを発見しました。Check Point Research Group ManagerのEli Smadja氏は、「これらのTRAE生成ファイルは、ソースコードとともに脅威アクターのサーバーにコピーされ、その後、公開されたディレクトリが原因で明るみに出たようです。この漏洩により、プロジェクトの初期の指示を異例なほど直接的に把握することができました」と述べています。
分析によると、脅威アクターはSpec-Driven Development(SDD)を使用してプロジェクトの目標と制約を定義し、AIにアーキテクチャ、スプリント、標準をカバーするマルチチーム開発計画を生成させました。生成されたドキュメントは16〜30週間かかる3チームでの作業を記述していましたが、Check Pointが発見したタイムスタンプとテストアーティファクトのタイムスタンプに基づくと、VoidLinkはわずか1週間で機能するようになり、2025年12月初旬までに88,000行のコードに達していました。
AI生成マルウェアの新時代
この発見を受けて、Check Pointはスプリント仕様と回収されたソースコードがほぼ完全に一致していることを確認し、研究者たちはワークフローを再現することに成功しました。これにより、AIエージェントがVoidLinkのコードと構造的に非常によく似たコードを生成できることが裏付けられました。Check Pointは、コードベースの起源について「疑いの余地はほとんどない」と述べ、VoidLinkをAIによって生成された高度なマルウェアの最初の文書化された事例としています。研究者たちは、VoidLinkが単独のマルウェア開発者が、以前は十分なリソースを持つチームでしか達成できなかった結果を、高い技術的知識をもって達成できる新時代の始まりを示していると考えています。