自适应 AI 蠕虫：当恶意软件自带本地 LLM

这是什么？

《AI Agents Enable Adaptive Computer Worms》（arXiv 2606.03811）是多伦多大学于 2026 年 6 月初 发布的预印本，并在同一周的 Infosecurity Europe 2026 上被广泛报道（heise、Fortune、TechTimes）。

它记录了一个研究原型：一种网络蠕虫，其决策由一个开放权重 LLM 驱动，而该模型由蠕虫在其已攻陷的机器上本地运行。没有云端 API，也没有中央指挥服务器——智能体在窃取来的算力上进行推理，并据此寻找和攻陷下一台主机。

在作者的评估中，该蠕虫在一个 由 33 台机器组成的模拟企业网络 上运行了 15 次。在大约 一周、完全没有人工参与 的情况下，它攻入了约 四分之三的机器（平均约 73.8%），并在其中近 三分之二 的机器上建立了持久驻留，传播范围横跨 Linux、Windows 和 IoT 设备。

最值得关注的结果不是成功率，而是 自适应性：演示显示该蠕虫利用了 三个在 2026 年才披露的漏洞——即在其模型训练截止日期之后——它在运行时读取公开的安全公告文本，并据此推导出可用的漏洞利用。换言之，训练截止日期并不是一道安全边界。

工作原理

传统蠕虫携带固定载荷：针对某个已知漏洞硬编码的利用代码。它们威力强大但很脆弱——修补漏洞或改变环境，传播就会停止。而由 LLM 驱动的智能体消除了这种僵硬性，用一个推理循环取代固定载荷，逐台主机地决定下一步尝试什么。

在不涉及任何操作细节的前提下，其概念循环大致如下：

在每台到达的主机上：
  1. 侦察   -> 枚举操作系统、服务、版本
  2. 推理   -> 本地 LLM 将侦察结果映射到候选弱点
  3. 获取   -> 若某个 2026 年公告相关，则读取并推导出漏洞利用
  4. 行动   -> 尝试获取访问权限  (漏洞利用逻辑 = [REDACTED])
  5. 驻留   -> 安装立足点，再托管模型以供下一跳使用
  6. 传播   -> 对相邻主机重复上述过程

有三个设计选择值得注意。首先是寄生算力：通过在受害者硬件上运行开放权重模型，蠕虫无需任何由攻击者控制的推理端点，从而同时消除了一项成本和一个防御方可能拦截的网络指标。其次是逐目标适配：同一个二进制文件能够处理异构的 Linux、Windows 和 IoT 主机，因为模型会对每台主机进行推理，而不是携带单一的漏洞利用。第三是运行时知识获取：将最新公告输入循环，使智能体能够攻击比其自身训练数据更新的漏洞。

这里不复现任何漏洞利用代码、载荷或模型提示词；[REDACTED] 标记代表攻击者逻辑，权威参考是 arXiv 论文。该工作的贡献是在受控实验室网络中对一种能力进行的量化演示，而非发布可用的恶意软件。

为什么重要

它压缩了补丁窗口。长期以来，防御方依赖于漏洞披露与可靠武器化利用之间的时间差。如果一个自主智能体在运行时读取公告并推导出可用利用，这段时间差就趋近于零——这与我们在首波 AI 辅助披露的 CVE以及开源 AI 对漏洞洪流施加的压力中记录的方向一致。

它还动摇了两个令人安心的假设。当模型搭乘窃取来的算力、藏在恶意软件内部移动时，“我们已让智能体与互联网隔离”的意义就大打折扣。而一旦公告成为输入而非训练数据，“模型太旧、不可能知道这个漏洞”也就站不住脚。这是漏洞利用评测与能力阶梯以及 Anthropic 的 LLM ATT&CK Navigator中所追踪的能力提升趋势的攻击性镜像：模型在串联真实入侵步骤方面正变得可量化地更强。

有两点保留意见让我们保持清醒。该结果来自一个 33 台机器的模拟网络，而非具备成熟检测与响应能力的真实企业；真实环境在两个方向上都更混乱。而且这是一个独立的原型，区别于早前的蠕虫研究，例如自主智能体蠕虫和 CAESAR 的协同多智能体入侵——三者共同的主线是：自主性加上工具使用才是能力提升的来源，而非某个孤立的巧妙利用。

防御

防御手册主要仍是经典的安全卫生——自适应性提高了风险，但并未发明新的控制面。

1. 积极进行网段隔离，并假定存在横向移动。 蠕虫通过普通的网络弱点逐台主机传播，因此其影响半径取决于扁平网络所允许的范围。微分段、最小权限服务账户以及零信任的东西向控制，能够限制任何单一立足点所能触及的范围。

2. 缩短对最新公告的补丁窗口。 如果利用现在能在披露后数小时内出现，就应优先快速修补可从互联网访问的、刚刚披露的漏洞，并借助类似 CISA KEV（“已在野外被利用”）的情报源进行分流。在无法立即打补丁之处，补偿性控制（虚拟补丁、WAF/IPS 签名）能争取时间。

3. 猎捕寄生推理。 本地运行 LLM 具有独特的特征：持续的 GPU/CPU 峰值、磁盘上出现的大型模型文件，以及本不应进行推理的服务器上异常的本地进程。请为正常算力建立基线，并对异常的模型执行发出告警。

4. 在端点和服务器上实施应用程序白名单。 阻止未经授权的二进制文件——包括误入的模型运行时和推理引擎——在已批准路径之外执行。这会剥夺蠕虫所依赖的本地算力。

5. 检测自主行为，而不仅仅是签名。 基于固定签名的杀毒软件会漏掉一个针对每台主机重写其方法的蠕虫。应优先采用行为型 EDR，标记”侦察—利用—传播”的序列，并在网络中布设蜜标与蜜罐工具，自动化智能体很可能会触发它们。

6. 不要再把训练截止日期当作一种控制。 在威胁建模中，应假定对抗性智能体能够将任何已公开的漏洞信息付诸实战，包括比其基座模型更新的漏洞。围绕能力而非模型的知识日期来规划检测与响应。

现状

项目	参考	日期	备注
自适应蠕虫论文	arXiv 2606.03811	2026 年 6 月	多伦多大学预印本；由 LLM 驱动、本地托管的推理
实验室结果	arXiv 2606.03811	2026 年 6 月	在 33 台机器的模拟网络上运行 15 次
传播	arXiv 2606.03811	2026 年 6 月	约 73.8% 主机被攻陷，约三分之二持久驻留，约 1 周，无人工
关键发现	arXiv 2606.03811	2026 年 6 月	通过运行时公告利用了三个超出模型截止日期的 2026 年 CVE
公开报道	heise / Fortune / TechTimes	2026 年 6 月	在 Infosecurity Europe 2026 前后演示

诚实的定位不是”AI 蠕虫来了”。而是：自主性与工具使用把固定载荷变成了自适应载荷，并且对公开公告的运行时访问抹去了防御方默默依赖的补丁窗口缓冲。应对之策正是那些不起眼的手段——网段隔离、快速打补丁、行为检测、应用控制——并以”攻击者会边传播边推理”为前提来加以落实。