Cyberkriminelle und staatliche Angreifer setzen immer häufiger auf KI zur Unterstützung ihrer digitalen Attacken. Wie sehr ihnen Veröffentlichungen von Sicherheitsforschern dabei die Arbeit erleichtern, haben nun Sicherheitsforscher von Trend Micro untersucht. Sie spannten unbeschränkte Large Language Models (LLMs) ein, um anhand eigener Blog-Beiträge Malware zu schreiben.
Dass sich Schadsoftware-Autoren Inspiration bei ihren Gegenspielern in Sicherheitsunternehmen holen, ist bekannt, etwa aus den Conti-Leaks. Die Befürchtung: Mit KI-Unterstützung müssen Cyberkriminelle mittlerweile weder lesen noch programmieren können. Sie verfüttern einfach detaillierte Sicherheitsanalysen an ein LLM und lassen sich Schadsoftware schreiben. Ob das klappt, untersuchten Mitarbeiter der Securityfirma Trend Micro.
Dazu nahmen sie die Softwaresammlung einer in Asien und Lateinamerika aktiven Cyberbedrohung namens "Earth Alux" als Vorbild für eine Nachahmer-Malware. In ihrem Experiment nutzten die Forscher LLMs, die keine Beschränkungen (Guardrails) gegen die Erstellung maliziöser Programme enthalten. Die mussten sie mitnichten in dunklen Ecken besorgen – sie stehen auf Hugging Face zum Download zur Verfügung. Der resultierende Quellcode benötigte jedoch noch etwas Nacharbeit, die kriminelle Karriere bedarf also nach wie vor etwas Fachwissens. Doch ähnelte der Schadsoftware-Klon seinem Vorbild in jedem veröffentlichten Detail.
Attraktiv scheint dieses "Nachahmer-Vibecoding" also nicht vorrangig für Einsteiger ins digitale Verbrechen, sondern eher für Gruppierungen, die Ermittler auf falsche Fährten locken wollen. So könnten sie Angriffe mittels nachgeahmter Taktiken, Techniken und Prozeduren (TTPs) einer feindlichen Gruppe unterschieben, was die ohnehin oft wacklige und chaotische Attributierung weiter erschwert.
Malware-Vibecoding mit Cline: Aus einem Blogartikel baut das Programmier-LLM eine Schadsoftware.
(Bild: Trend Micro)
Schon heute bedienen sich Angreifergruppen derlei Taktiken, mutmaßliche Nordkoreaner streuen etwa russische Codeschnipsel in ihre Schadsoftware ein. Doch Vibe Coding anhand von Security-Artikeln erlaubt ihnen eine präzisere und vor allem effizientere Nachahmung, so die Trend-Micro-Analyse.
Doch die Autoren des Blog-Artikels warnen vor voreiligen Reaktionen und betonen, man dürfe nicht aufhören, über Sicherheitsbedrohungen zu sprechen und schreiben. Es sei wichtiger denn je, Informationen über Angriffe und Bedrohungen zu veröffentlichen, man müsse jedoch der Gefahren gewahr sein. Herausgeber von Sicherheitsmeldungen oder -analysen müssten untersuchen, ob die veröffentlichten Details zum Vorgehen der Angreifer eine KI-gestützte Nachahmung ermöglichten. Zudem erschwere Vibe Coding die Zuordnung von Angriffen zu Angreifergruppen weiter.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare