摘要：研究人员通过 API 密钥模式和提示符结构识别了该恶意软件，并发现了新的样本和其他攻击性 LLM 用途，例如人员搜索代理、红队工具和 LLM 辅助的漏洞注入实用程序。

SentinelLABS 研究人员发现了 MalTerminal，这是已知最早启用 LLM 的恶意软件，它会在运行时生成恶意逻辑，使检测更加复杂。

研究人员通过 API 密钥模式和提示符结构识别了该恶意软件，并发现了新的样本和其他攻击性 LLM 用途，例如人员搜索代理、红队工具和 LLM 辅助的漏洞注入实用程序。

SentinelLABS 在 LABScon 2025 安全会议上展示了 MalTerminal。

研究人员分析了威胁组织如何将LLM集成到恶意软件开发中，以及这给防御者带来的挑战。与传统威胁不同，启用LLM的恶意软件可以动态生成代码，这使得检测更加困难。

专家警告称，攻击者可以通过多种方式利用LLM：通过伪造的AI工具进行诱骗、攻击集成LLM的应用程序、手动改进LLM生成的恶意软件、利用“黑客助手”进行网络钓鱼或编码，以及将LLM直接嵌入恶意软件中以获取操作优势。

SentinelOne 提到PromptLock、LameHug / PROMPTSTEAL是 LLM 启用恶意软件的著名案例。

PromptLock 恶意软件通过 Ollama API 在本地使用 OpenAI 的 gpt-oss:20b 模型，动态生成并执行恶意 Lua 脚本。LAMEHUG 通过 huggingface[.]co 服务 API 使用 LLM Qwen 2.5-Coder-32B-Instruct，根据静态输入的文本（描述）生成命令。

Qwen 2.5-Coder-32B-Instruct 是由阿里巴巴 Qwen 团队开发的大型开源语言模型，专门针对编码任务进行了优化。

恶意软件会收集系统信息，并在常用文件夹中搜索 Office、PDF 和 TXT 文件。它将数据存储在本地，然后通过 SFTP 或 HTTP POST 进行窃取。

这些样本表明，防御者面临的恶意软件会在运行时生成逻辑，从而增加签名检测的复杂性。攻击者依赖内置的提示符和 API 密钥，这赋予了恶意软件强大的攻击能力，但如果这些密钥被撤销，恶意软件也会变得脆弱。

研究人员通过瞄准这些依赖项、API 密钥和提示符来追踪启用 LLM 的恶意软件。由于大多数威胁组织使用商业 LLM 服务，恶意软件必须嵌入可识别的密钥和结构化的提示符。

他们使用 YARA 规则检测特定于提供商的密钥模式，发现了超过 7,000 个样本（大部分是非恶意泄漏，但有些与真正的恶意软件相关）。他们还在二进制文件中搜索硬编码提示符，并使用 LLM 分类器标记恶意意图。

SentinelLabs 发布的报告中写道：“在寻找提示的过程中，我们发现大量利用 LLM 进行操作的攻击工具。我们能够识别与代理计算机网络利用、shellcode 生成器以及大量 WormGPT 模仿者相关的提示。”

这种双重方法非常有效，使研究人员能够发现以前未知的支持 LLM 的工具，包括我们命名为 MalTerminal 的套件。

MalTerminal（编译后的 Python 代码 -> MalTerminal.exe）调用 OpenAI GPT-4 按需生成勒索软件或反向 Shell；它嵌入了一个已弃用的聊天 API，表明其开发时间较早。

研究人员还发现了提供操作员菜单的 Python 加载器（testAPI.py、TestMal2.py），以及脆弱的“FalconShield”扫描器（TestMal3.py/Defe.py），它们会要求 GPT 将代码标记为恶意代码。

专家们没有发现任何证据表明这些工具在实际应用中被部署，其作者可能构建了 PoC 或红队实用程序。快速追踪发现了许多攻击性的 LLM 用途：

报告总结道：“尽管启用 LLM 的恶意软件的使用仍然有限且主要处于实验阶段，但这一早期开发阶段为防御者提供了从攻击者的错误中吸取教训并相应地调整其方法的机会。我们预计攻击者会调整其策略，并希望进一步的研究能够以我们在此提出的工作为基础。”

报告全文：

来源：会杀毒的单反狗