В ESET нашли первый ИИ-вымогатель PromptLock — написан на Go, крадёт и шифрует данные

Компания ESET, известная своим антивирусом, сообщила о выявлении первого в истории вымогателя, использующего искусственный интеллект. Новый вирус получил название PromptLock.

Несмотря на то, что пока нет подтверждений использования PromptLock в реальных атаках, эксперты считают находку важным предупреждением: злоумышленники уже научились внедрять ИИ в инструменты для автоматизированных кибератак.

Что умеет PromptLock

По данным ESET, PromptLock:

• написан на языке Golang, с версиями для Windows и Linux;
• использует ИИ-модель gpt-oss-20b через локальный API Ollama;
• генерирует вредоносные Lua-скрипты на лету, которые сканируют файловую систему, выбирают цели для атаки, шифруют и похищают данные;
• потенциально способен уничтожать данные, но эта функция пока не реализована.

Фактически, вирус на ходу использует ИИ, чтобы адаптировать поведение скриптов в зависимости от окружения.

Это делает его особенно опасным: поведение может меняться при каждом запуске, а скрипты — генерироваться динамически, что усложняет обнаружение.

Зачем в вирусе нужен ИИ

Искусственный интеллект используется не для общения с жертвой или фишинга — он создаёт исполняемый вредоносный код на основе заранее заданных подсказок (промтов). То есть, вместо статического набора функций, злоумышленники получают возможность модифицировать поведение вируса под любую цель и инфраструктуру.

Именно такие примеры показывают, как ИИ может автоматизировать все этапы атаки — от разведки до кражи данных. Подобные инструменты меняют масштаб и скорость атак

Почему это тревожный сигнал

Хотя PromptLock пока выглядит как прототип или доказательство концепции, его появление сигнализирует об одном: инструменты на базе ИИ становятся доступными не только бизнесу, но и киберпреступникам.

Теперь для создания продвинутого вредоносного ПО не обязательно быть опытным программистом — достаточно задать правильный промпт. Сама угроза особенно актуальна в контексте:

• распространения локальных моделей и open-source решений;
• снижения технического порога входа для атакующих;
• роста интереса APT-групп к ИИ-автоматизации атак.

Что делать

Эксперты рекомендуют:

• пересмотреть защиту ИТ-инфраструктуры от динамически генерируемых скриптов;
• уделить внимание аномалиям в поведении программ, а не только сигнатурам;
• следить за новыми классами угроз с участием ИИ.