ШІ-генерована шкідлива програма обходить Microsoft Defender у 8% випадків, показує дослідження Black Hat 2025

Уявіть світ, де хакери не створюють шкідливий код вручну, а тренують моделі ШІ, які еволюціонують і обходять антивірусне програмне забезпечення, наче живі організми. Це не наукова фантастика — це жахлива реальність, яку розкрив революційний експеримент (PoC) Кайла Ейвері, головного спеціаліста з атакуючої безпеки в Outflank ¹.

Це дослідження, яке має бути представлено на Black Hat USA 2025 в Лас-Вегасі, демонструє, як навчання з підкріпленням (RL) може перетворити відкриту мовну модель на машину для створення шкідливих програм, яка надійно обходить Microsoft Defender для Endpoint. Що робить це дослідження таким інтригуючим? Це не просто про обхід — це про демократизацію передового хакінгу.

З скромним бюджетом близько 1500 доларів і трьома місяцями навчання на споживчому обладнанні, Ейвері створив інструмент, який успішний у 8% випадків, що означає, що атакуючі можуть генерувати невиявлені шкідливі програми всього за дюжину спроб. Ця “вайб-хакінг” естетика — де ШІ відчувається як кіберпанк-учень, що вчиться уникати цифрових охоронців — сигналізує про фундаментальний зсув у битвах кібербезпеки.

Український контекст: Виклики кібербезпеки в умовах війни

Для України це дослідження має особливе значення. З початком повномасштабного вторгнення Росії у 2022 році, українські організації зіткнулися з безпрецедентними кіберзагрозами. Державна служба спеціального зв’язку та захисту інформації України регулярно повідомляє про спроби кібератак на критичну інфраструктуру.

Російські хакерські угруповання, такі як APT28 (Fancy Bear) та Sandworm, активно використовують передові методи для атак на українські цілі. Поява ШІ-генерованих шкідливих програм може значно ускладнити захист критичної інфраструктури, включаючи енергетичні мережі, телекомунікації та державні системи.

Українські експерти з кібербезпеки наголошують, що організації повинні бути готові до нових викликів, які несуть технології ШІ в руках противника.

Передісторія: Від шуму до реальності в ШІ-шкідливих програмах

З кінця 2023 року експерти попереджали про потенціал ШІ в кіберзлочинності. Раннє використання було примітивним: хакери використовували моделі як ChatGPT для фішингових листів або базових скриптів. Але їх легко виявляли, їм бракувало складності для виклику корпоративної оборони, такої як Microsoft Defender.

Поворотним моментом стали досягнення в навчанні з підкріпленням, натхненні моделлю OpenAI o1 (випущена в грудні 2024 року) та відкритою DeepSeek R1 (січень 2025 року). Ці моделі прекрасно справляються з верифікованими завданнями — подумайте про математику або кодування — винагороджуючи правильні передбачення та штрафуючи помилки, замість того, щоб покладатися на величезні неконтрольовані набори даних.

Ейвері помітив можливість: застосувати RL до створення шкідливих програм, де “успіх” можна виміряти (чи працює код? Чи уникає він виявлення?). На відміну від традиційних LLM, які потребують терабайтів зразків шкідливих програм — дефіцитного ресурсу — RL дозволяє самовдосконалення через спроби та помилки. Цей PoC не перша спроба ШІ-шкідливих програм, але найбільш надійна, перевершуючи комерційні моделі як Anthropic (менше 1% успіху) та DeepSeek (менше 0,5%).

Розкрита концепція: Модель та основна механіка

В основі творіння Ейвері лежить Qwen 2.5, відкрита LLM з 7 мільярдами параметрів від Alibaba Cloud. Обрана за свій легкий дизайн, вона працює на споживчих GPU високого рівня (наприклад, NVIDIA RTX 40-серії), роблячи її доступною без хмарних ферм. Одразу з коробки Qwen генерує функціональні шкідливі програми лише 1 раз з 1000 — і жодна не обходить Defender. Геніальність Ейвері? Користувацький цикл RL, який “еволюціонує” модель.

Це не випадкова генерація — це цільова. Модель спеціалізується на верифікованих результатах, відмінно справляється з кодом, але слабкіша в суб’єктивних завданнях, таких як творче письмо, свідомий компроміс від дизайну RL.

Деталі навчання: Покрокова розбивка

Процес Ейвері імітує природний відбір у цифровій пісочниці. Ось як це відбувалося:

1. Налаштування середовища: Qwen 2.5 розміщується в ізольованій віртуальній машині з встановленим Microsoft Defender для Endpoint. Жодних реальних ризиків — лише симульовані атаки.
2. Початкова генерація: Модель виводить спроби коду (наприклад, трояни або шелл-код). Спочатку успіх рідкісний.
3. Система винагород: Користувацька програма оцінює виходи. Спочатку, винагороджує функціональність (чи виконується?). Потім, інтегрує API Defender для запиту сигналів тривоги — винагороджує нижчу серйозність (від високої тривоги до жодної). Цей механізм “верифікованих винагород” оновлює ваги моделі для підтримки успішних “мислительних процесів”.
4. Ітерація та тонке налаштування: Тисячі циклів удосконалюють модель. Не потрібні масивні набори даних — RL використовує самогенерований зворотний зв’язок. Після трьох місяців досягає 8% надійності обходу.

Один захоплюючий аспект: це нагадує “градієнтний хакінг”, коли ШІ маніпулює власним навчанням для досягнення прихованих цілей. Ейвері зупинився на 8%, але прогнози свідчать про 20-30% з більшим часом, перетворюючи це на plug-and-play інструмент для червоних команд — або гірше, кіберзлочинців.

Українські рекомендації з кібербезпеки

З огляду на поточну ситуацію в Україні, Держспецзв’язок рекомендує організаціям:

• Посилити моніторинг мережевої активності, особливо в критичних інфраструктурних системах
• Впровадити багатошарову безпеку з використанням як українських, так і міжнародних рішень
• Регулярно оновлювати системи захисту та проводити навчання персоналу
• Співпрацювати з Українським комп’ютерним центром реагування на надзвичайні ситуації (CERT-UA)

Особливо важливо для українських організацій враховувати, що противник може використовувати такі технології для атак на критичну інфраструктуру під час воєнного стану.

Рівень успіху 8%: Мале число, великі наслідки

Ви можете подумати, що 8% не звучить надто страшно. Але розгляньте це: якщо кіберзлочинці розгортають ШІ-генеровані шкідливі програми в масштабі, навіть малий рівень успіху перетворюється на значні збитки. З мільйонами потенційних цілей, 8% стає суттєвою кількістю скомпрометованих систем.

Однак дослідження також розкриває поточні обмеження. Відносно низький рівень успіху свідчить про те, що сучасні рішення безпеки, такі як Microsoft Defender, все ще ефективні проти більшості ШІ-генерованих загроз. Це не апокаліпсис кібербезпеки, якого деякі боялися, але це определенно сигнал тривоги.

Чи варто панікувати? Поки ні

Перш ніж ви почнете сумніватися, чи варто вимикати Windows Defender (спойлер: не варто), давайте поставимо це в перспективу. Рівень успіху 8% насправді демонструє, наскільки ефективні сучасні рішення безпеки проти ШІ-генерованих загроз.

Microsoft Defender, разом з іншими поважними антивірусними рішеннями, використовує кілька рівнів захисту. Виявлення на основі сигнатур — це лише один елемент головоломки. Поведінковий аналіз, алгоритми машинного навчання та евристичне сканування працюють разом, щоб виловити загрози, які можуть проскочити повз традиційні методи виявлення.

Ось чому експерти з кібербезпеки завжди рекомендують використовувати комплексний захист замість покладання на одну міру безпеки. Це також чому утримання вашого програмного забезпечення в актуальному стані є критично важливим — коли методи ШІ-атак еволюціонують, еволюціонують і оборонні контрзаходи.

Контрзаходи: Боротьба проти ШІ-обходу

Хороша новина? Цей PoC не непереможний. Захисники можуть адаптуватися з проактивними стратегіями:

• ШІ-підкріплене виявлення: Використовувати RL навпаки — тренувати захисників виявляти ШІ-генеровані паттерни, такі як неприродні структури коду або швидкі ітерації.
• Поведінковий аналіз: Перехід від виявлення на основі сигнатур до виявлення аномалій.
• Зміцнення пісочниці: Обмежити доступ до API в тестових середовищах і використовувати багатошарову EDR з ML для раннього позначення спроб обходу.
• Водяні знаки моделей: Вбудовувати трейсери в відкриті LLM для виявлення шкідливого тонкого налаштування.
• Регулятивні та громадські зусилля: Як видно з доповідей Black Hat, співпрацювати у обміні наборами даних RL-обходу. Microsoft може оновити Defender евристикою специфічною для RL після презентації.

Експерти прогнозують, що злочинці незабаром приймуть подібні технології, тому проактивне латання та керівні принципи етики ШІ є критично важливими.

Особливості для українських користувачів

Українські користувачі повинні враховувати додаткові фактори ризику:

• Цілеспрямовані атаки: Російські хакерські угруповання можуть використовувати ШІ-генеровані шкідливі програми для атак на українські цілі
• Критична інфраструктура: Енергетичні мережі, телекомунікації та транспорт можуть стати пріоритетними цілями
• Інформаційна війна: ШІ може генерувати не лише шкідливі програми, а й дезінформацію та пропаганду
• Локальні рішення: Підтримка українських розробників кібербезпеки може бути критично важливою для національної безпеки

CERT-UA регулярно публікує попередження про нові загрози, і рекомендується регулярно перевіряти їх сайт для отримання актуальної інформації.

Більша картина: Гонка озброєнь ШІ проти ШІ

Це дослідження втілює “вайб-хакінг” — футуристичну суміш машинного навчання та кіберводіння, де атакуючі стають тренерами ШІ, а не традиційними кодерами. Воно знижує бар’єри для скрипт-кідді, потенційно заповнюючи темну павутину користувацькими наборами для обходу. Однак воно також надає сили етичним хакерам і фахівцям червоних команд, прискорюючи захисні інновації.

Microsoft та інші постачальники безпеки вже включають машинне навчання в свої движки виявлення. Ці системи можуть ідентифікувати паттерни та аномалії, які можуть вказувати на ШІ-генеровані загрози, навіть якщо вони не бачили точний варіант шкідливої програми раніше.

Ключ у тому, що оборонні системи ШІ також мають переваги. Вони можуть аналізувати величезні обсяги даних, вчитися від глобальної розвідки загроз і адаптувати свої методи виявлення в реальному часі. Хоча атакуючі можуть використовувати ШІ для створення нових варіантів, захисники можуть використовувати ШІ для розпізнавання основних паттернів та технік.

Що це означає для звичайних користувачів

Для більшості користувачів це дослідження не змінює фундаментальних порад з кібербезпеки, але воно підкреслює важливість багатошарового захисту:

• Тримайте ваше програмне забезпечення безпеки оновленим — регулярні оновлення включають нові методи виявлення та контрзаходи проти еволюціонуючих ШІ-загроз
• Не покладайтеся лише на один рівень безпеки — використовуйте комплексний захист з кількома методами виявлення, включаючи поведінковий аналіз
• Залишайтеся пильними щодо підозрілих листів і завантажень — жодна система безпеки не є 100% ефективною, особливо проти нових ШІ-генерованих загроз
• Тримайте вашу операційну систему та програмне забезпечення актуальними — багато атак експлуатують відомі вразливості, які можуть запобігти латки
• Практикуйте хорошу гігієну кібербезпеки — уникайте ризикованих поведінок, які можуть наразити вас на загрози, незалежно від їх походження

Срібна підкладка полягає в тому, що хоча ШІ може генерувати більш складні шкідливі програми, воно також забезпечує кращі системи виявлення. Сучасні рішення безпеки все більше включають ШІ-підкріплений поведінковий аналіз для виявлення аномалій, які традиційне виявлення на основі сигнатур може пропустити.

Наслідки: Майбутнє “вайб-хакінгу”

Цей PoC втілює те, що Ейвері називає “вайб-хакінгом” — футуристичну суміш машинного навчання та кіберводіння, де атакуючі стають тренерами ШІ, а не традиційними кодерами. Воно представляє фундаментальний зсув у тому, як може еволюціонувати кіберзлочинність, знижуючи бар’єри для менш кваліфікованих акторів, водночас потенційно заповнюючи темну павутину користувацькими наборами для обходу.

Аспект демократизації є особливо занепокоюючим. Там, де традиційне створення шкідливих програм вимагає глибоких технічних знань та незліченних годин ручного кодування, цей ШІ-підхід може дозволити “скрипт-кідді” генерувати складні загрози. Однак воно також надає сили етичним хакерам та фахівцям червоних команд, прискорюючи захисні інновації.

Кримінальне прийняття подібних технологій “досить ймовірне в середньостроковій перспективі”. Рівень успіху цього експерименту потенційно може досягнути 20-30% з продовженням навчання, перетворюючи його з дослідницької цікавості в практичний інструмент як для червоних команд, так і для кіберзлочинців.

Погляд у майбутнє: Підготовка до ери ШІ

Презентація Кайла Ейвері на Black Hat 2025 безсумнівно викличе інтенсивне обговорення в спільноті кібербезпеки. Дослідження демонструє, що хоча ШІ-генеровані шкідливі програми стають більш складними, це ще не та екзистенційна загроза, якої деякі боялися.

Рівень успіху 8%, хоча і значний, також показує, що сучасні рішення безпеки, такі як Microsoft Defender, все ще ефективні проти більшості ШІ-генерованих загроз. Однак тенденція до вищих рівнів успіху з продовженням навчання свідчить про те, що це лише початок нової глави в кібербезпеці.

Для бізнесу та організацій це дослідження підкреслює важливість багатошарових підходів до безпеки. Покладання на будь-яке окреме рішення безпеки, незалежно від того, наскільки воно передове, стає все більш ризикованим. Майбутнє кібербезпеки лежить в комплексних, багатошарових оборонних стратегіях, які можуть адаптуватися до еволюціонуючих загроз.

Залишайтеся пильними в еру ШІ

Революційна робота Ейвері на Black Hat 2025 — це не пророцтво судного дня, а сигнал тривоги для індустрії кібербезпеки. Розуміючи загрози, керовані навчанням з підкріпленням, сьогодні, ми можемо будувати більш стійкі оборони на завтра.

Дослідження показує, що хоча ШІ може покращити можливості кіберзлочинності, воно також відкриває нові шляхи для захисту. Ключ у забезпеченні того, щоб оборонні можливості ШІ еволюціонували швидше за наступальні, підтримуючи баланс, який тримає наш цифровий світ безпечним.

Для користувачів повідомлення залишається чітким: підтримуйте хороші практики безпеки, тримайте ваше програмне забезпечення оновленим і використовуйте комплексний захист. Чи йдеться про традиційні шкідливі програми чи ШІ-генеровані загрози, принципи хорошої кібербезпеки залишаються тими ж: залишайтеся інформованими, залишайтеся захищеними, і залишайтеся пильними.

В GridinSoft ми зобов’язані еволюціонувати наші рішення безпеки для задоволення цих нових викликів. Коли ШІ-революція в кібербезпеці розгортається, ми продовжуємо моніторити ці розробки та адаптувати нашу оборону відповідно.

Будьте обережні та захищайте себе в цифровому світі, особливо в умовах війни!

1. Джерело: Dark Reading Research

Автор: Стефанія А.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною. Переглянути всі записи автора Стефанія А.