Тихо, но метко: как ИИ научился шифровать ваши файлы за доллар
Исследователи ESET только что выложили отчет, от которого у всей индустрии кибербезопасности свело желудок. Они обнаружили в дикой природе PromptLock. Не очередной скрипт-вымогатель, а первый полноценный вирус-шифровальщик, который создал... другой вирус. Точнее, большая языковая модель.
Вот цифры, которые не дадут вам спать сегодня: стоимость одной атаки — меньше доллара. Потребление — около 23 000 токенов. Инструмент — открытая модель gpt-oss-20b, последняя стабильная версия на февраль 2026 года. Злоумышленнику не нужны глубокие познания в криптографии. Достаточно правильно составленного промпта.
Главное не в том, что атака дешевая. А в том, что она тиражируемая. Один рабочий промпт для gpt-oss-20b — и любой школьник может запустить свою кампанию по вымогательству. Кибербезопасность вошла в эпоху массового производства.
Механика бедствия: от промпта до шифрования
Как это работает? Примитивно до гениальности. Атакующий загружает в gpt-oss-20b специально сконструированный запрос. Нечто вроде: "Сгенерируй код на Python, который рекурсивно обходит директорию /home/user/documents, находит файлы с расширениями .docx, .pdf, .xlsx, шифрует их алгоритмом AES-256, а затем оставляет текстовый файл с требованием выкупа".
Модель, обученная на тоннах открытого кода, послушно выдает рабочий скрипт. Со всеми импортами, обработкой ошибок и даже комментариями. Промпт инженер — новая профессия хакера. Забудьте про нуле-day уязвимости. Теперь уязвимость — это сам ИИ, готовый помочь любому, кто задаст правильный вопрос.
Зачем усложнять? Простота — новый тренд атак
Раньше создание ransomware требовало команды опытных разработчиков. Теперь — аккаунта в API-сервисе с открытой LLM и пары долларов на счету. PromptLock не использует сложные эксплойты. Он использует доверчивость.
И это только начало. Если модель может написать шифровальщик, что мешает ей создать фишинговое письмо, идеально подделывающее стиль вашего босса? Или скрипт для атаки на инфраструктуру? Проблема глубже, чем кажется.
| Компонент атаки | Роль ИИ (gpt-oss-20b) | Классическая атака |
|---|---|---|
| Поиск уязвимостей | Анализ кода и генерация эксплойта по описанию | Ручной реверс-инжиниринг, фаззинг |
| Написание вредоносной полезной нагрузки | Генерация готового скрипта шифровальщика | Написание кода вручную или использование готовых конструкторов |
| Социальная инженерия | Генерация убедительных писем и сообщений для жертвы | Шаблонные письма, кустарные переводы |
Что делать? Защита в эпоху генеративных угроз
Сидеть и ждать, пока производители моделей что-то придумают, — стратегия проигрышная. Защита должна быть многослойной и параноидальной.
- Изоляция и аудит. Любой код, сгенерированный ИИ (даже для внутренних нужд), должен выполняться в песочнице. Никаких прямых вызовов системных команд.
- Мониторинг prompt-логов. Если вы используете LLM в продакшене, вы должны знать, какие запросы к ним поступают. Атаки вроде Man-in-the-Prompt крадут или подменяют их. Нужны инструменты вроде Vigil для отслеживания аномалий.
- Белые списки и контроль целостности. Запретите выполнение неподписанных скриптов. Регулярно создавайте бэкапы. Это банально, но PromptLock атакует именно те файлы, которые редко бэкапят.
- Используйте специализированные щиты. Для разработчиков, которые интегрируют LLM, уже есть библиотеки вроде PromptSec, добавляющие дополнительный уровень валидации входящих промптов. Подробные методики есть в практическом руководстве по защите self-hosted LLM.
Самое главное — изменить мышление. Prompt injection — это не баг, это фича архитектуры современных LLM. Бороться с этим бесполезно. Нужно строить системы, которые учитывают, что ИИ может быть скомпрометирован в любой момент.
Что будет дальше? (Спойлер: ничего хорошего)
PromptLock — это первая ласточка. Очень неуклюжая, заметная. Следующие версии будут умнее. Они научатся самостоятельно искать цели в сети, адаптировать код под конкретную ОС или даже использовать уязвимости в самих runtime-средах для LLM, чтобы скрыть следы.
Эксперты ESET прогнозируют, что к концу 2026 года мы увидим первую полностью автономную кибер-кампанию, от разведки до вымогательства, спланированную и исполненную ИИ-агентом. Звучит как фантастика? Всего два года назад так же звучал и PromptLock.
Мой совет? Не ждите. Проанализируйте свои системы сегодня. Где у вас работает генеративный ИИ? Кто имеет к нему доступ? Что он может сделать с этими правами? Ответы на эти вопросы — единственный способ не стать статистикой в следующем отчете.
