中国开发者借助AI打造VoidLink恶意软件，代码量超88000行

Check Point Research最新发现，一个名为VoidLink的复杂Linux恶意软件框架被评估为由单一开发者在人工智能模型协助下开发完成。

研究人员通过分析恶意软件作者的操作安全漏洞，获得了关于其开发起源的重要线索。这一发现使VoidLink成为首批主要通过AI生成的高级恶意软件实例之一。

网络安全公司表示："这些材料清楚证明，该恶意软件主要通过AI驱动的开发过程产生，在不到一周的时间内就达到了第一个功能性植入程序。"到2025年12月初，代码量已超过88000行。

VoidLink上周首次公开披露，是一个功能丰富的恶意软件框架，使用Zig语言编写，专门设计用于对基于Linux的云环境进行长期、隐蔽的访问。据称该恶意软件来自中国关联的开发环境。截至目前，该恶意软件的确切用途仍不明确，也未观察到实际感染案例。

Sysdig的后续分析首次强调，该工具包可能是在大语言模型的帮助下，由一名具有丰富内核开发知识和红队经验的人员指导开发的。分析基于四个不同的证据：

过于系统化的调试输出，所有模块都有完全一致的格式

占位符数据（"John Doe"）是大语言模型训练示例中嵌入在诱饵响应模板中的典型特征

统一的API版本控制，所有内容都是_v3版本（如BeaconAPI_v3、docker_escape_v3、timestomp_v3）

涵盖每个可能字段的模板式JSON响应

云安全供应商上周指出："最可能的情况是：一名熟练的中文开发者使用AI来加速开发（生成样板代码、调试日志、JSON模板），同时自己提供安全专业知识和架构设计。"

Check Point周二的报告支持了这一假设，声称识别出了表明开发过程本身是使用AI模型设计的工件，该模型随后被用于构建、执行和测试框架，有效地将概念转化为在加速时间线内的工作工具。

该公司指出："开发VoidLink的一般方法可以描述为规范驱动开发（SDD）。在这个工作流程中，开发者首先指定他们要构建的内容，然后创建计划，将计划分解为任务，只有在那时才允许智能体实施。"

据信威胁行为者于2025年11月底开始VoidLink的开发工作，利用名为TRAE SOLO的编码智能体来执行任务。这一评估基于TRAE生成的辅助文件的存在，这些文件已与源代码一起复制到威胁行为者的服务器，后来在暴露的开放目录中泄露。

此外，Check Point表示发现了用中文编写的内部规划材料，涉及冲刺计划、功能分解和编码指导原则，这些都具有大语言模型生成内容的所有特征——结构良好、格式一致、细节详尽。其中一份详细说明开发计划的文档创建于2025年11月27日。

据称该文档被重新用作大语言模型遵循、构建和测试恶意软件的执行蓝图。Check Point使用开发者使用的TRAE IDE复制了实现工作流程，发现该模型生成的代码与VoidLink的源代码相似。

该公司表示："对代码标准化指令与恢复的VoidLink源代码的审查显示出惊人的一致性水平。约定、结构和实现模式的匹配度如此之高，几乎没有疑虑的余地：代码库正是按照这些确切指令编写的。"

这一发展再次表明，虽然AI和大语言模型可能不会为恶意行为者提供新颖的能力，但它们可以进一步降低恶意行为者的准入门槛，使甚至单个个人都能够快速构想、创建和迭代复杂系统，并实施复杂攻击——简化了曾经需要大量努力和资源且仅限于国家级对手的过程。

Check Point Research集团经理Eli Smadja在向The Hacker News分享的声明中说："VoidLink代表了高级恶意软件创建方式的真正转变。突出的不仅是框架的复杂性，还有其构建速度。AI使看似单一行为者能够在数天内规划、开发和迭代复杂的恶意软件平台——这以前需要协调的团队和大量资源。这是AI正在改变网络威胁经济学和规模的明确信号。"

在本周发布的白皮书中，Group-IB将AI描述为推动网络犯罪演进"第五波"的超级助推器，提供现成工具来实施复杂攻击。该公司表示："对手正在将AI工业化，将说服、冒充和恶意软件开发等曾经的专业技能转变为任何有信用卡的人都可以使用的按需服务。"

这家总部位于新加坡的网络安全公司指出，自2019年以来，暗网论坛中包含AI关键词的帖子增长了371%，威胁行为者宣传没有任何道德限制的暗黑大语言模型如Nytheon AI、越狱框架，以及提供AI视频演员、克隆语音甚至生物识别数据集的合成身份套件，价格低至5美元。

前国际刑警组织网络犯罪主任、独立战略顾问Craig Jones表示："AI已经使网络犯罪工业化。曾经需要熟练操作员和时间的工作现在可以购买、自动化并在全球范围内扩展。虽然AI没有为网络犯罪分子创造新的动机——金钱、杠杆和访问权限仍然驱动着生态系统——但它显著提高了追求这些动机的速度、规模和复杂性。"

Q&A

Q1：VoidLink恶意软件有什么特点？

A：VoidLink是一个功能丰富的恶意软件框架，使用Zig语言编写，专门设计用于对基于Linux的云环境进行长期、隐蔽的访问。该框架代码量超过88000行，据评估主要由单一开发者在AI模型协助下开发，被认为是首批主要通过AI生成的高级恶意软件实例之一。

Q2：AI是如何帮助开发VoidLink的？

A：开发者使用名为TRAE SOLO的编码智能体来执行开发任务，采用规范驱动开发方法。AI模型被用于生成样板代码、调试日志、JSON模板等，同时开发者自己提供安全专业知识和架构设计。整个开发过程从概念到工作工具仅用了不到一周时间。

Q3：AI对网络犯罪发展有什么影响？

A：AI显著降低了恶意行为者的准入门槛，使单个个人都能够快速构想、创建复杂的恶意软件系统。自2019年以来，暗网论坛中包含AI关键词的帖子增长了371%。AI工业化了网络犯罪，将说服、冒充、恶意软件开发等专业技能转变为按需服务，大大提高了网络威胁的速度、规模和复杂性。