Ricerca sui punti di controllo divulgato sui dettagli relativi a VoidLink, identificato come il primo framework di malware avanzato documentato creato prevalentemente dall'intelligenza artificiale (AI), segnalando una nuova era di malware generato dall'intelligenza artificiale. In precedenza, prove di AI generate malware l'uso ampiamente indicato da parte di autori di minacce inesperti o rispecchiava gli strumenti open source esistenti. VoidLink, tuttavia, dimostra il potenziale dell'intelligenza artificiale nelle mani di sviluppatori più capaci. I guasti alla sicurezza operativa (OPSEC) da parte dello sviluppatore VoidLink hanno messo in luce artefatti di sviluppo interni, tra cui documentazione, codice sorgente e componenti del progetto, indicando che il malware ha raggiunto un impianto funzionale in meno di una settimana. Questi materiali hanno fornito prove evidenti dello sviluppo guidato dall’intelligenza artificiale. L'attore ha utilizzato una metodologia denominata Spec Driven Development (SDD), incaricando un modello di intelligenza artificiale di generare un piano di sviluppo strutturato e multi-team completo di programmi e specifiche degli sprint. Il modello ha quindi utilizzato questa documentazione come modello per implementare, iterare e testare il malware end-to-end. VoidLink ha dimostrato un elevato livello di maturità, funzionalità, architettura efficiente e modello operativo dinamico, impiegando tecnologie come rootkit eBPF e LKM, insieme a moduli dedicati per l'enumerazione del cloud e il post-sfruttamento in ambienti container. CPR ha osservato che il malware si evolve rapidamente da uno sviluppo funzionale integrato in una struttura completa e modulare con componenti aggiuntivi e un'infrastruttura di comando e controllo. Gli elementi di sviluppo includevano la documentazione di pianificazione per tre distinti “team” interni in oltre 30 settimane di sviluppo pianificato. CPR ha notato una discrepanza tra la sequenza temporale dello sprint documentata e la rapida espansione osservata delle capacità del malware. L'indagine ha rivelato che il piano di sviluppo stesso è stato generato e orchestrato da un modello di intelligenza artificiale, probabilmente utilizzato come modello per costruire, eseguire e testare il framework. La documentazione prodotta dall'intelligenza artificiale, approfondita e con timestamp, ha mostrato che un singolo individuo ha sfruttato l'intelligenza artificiale per portare VoidLink dal concetto a una realtà in evoluzione in meno di sette giorni. Lo sviluppo di VoidLink è iniziato probabilmente alla fine di novembre 2025 utilizzando TRAE SOLO, un assistente AI all'interno di un IDE incentrato sull'intelligenza artificiale chiamato TRAE. I file di supporto generati da TRAE, che preservano parti chiave delle direttive originali, sono stati inavvertitamente esposti a causa di una directory aperta sul server dell'autore della minaccia. Questi file includevano documenti di istruzioni in lingua cinese che delineavano direttive come:
- Obiettivo: Ha istruito il modello a non implementare tecniche contraddittorie o a fornire dettagli tecnici, che potrebbero aggirare i vincoli di sicurezza.
- Acquisizione materiale: Ha indirizzato il modello a fare riferimento a un file esistente, “c2架构.txt”, contenente l'architettura seed per la piattaforma C2.
- Ripartizione dell'architettura: Ingresso iniziale scomposto in componenti discreti.
- Rischio e conformità: Lavoro inquadrato in termini di confini legali, potenzialmente per orientare il modello verso risposte permissive.
- Mappatura del repository di codice: Indicato che VoidLink è stato avviato da una base di codice minima esistente successivamente riscritta.
- Risultati finali: Richiesto un riepilogo dell'architettura, una panoramica del rischio/conformità e una roadmap tecnica.
- Passaggi successivi: Conferma da parte dell'agente di procedere alla fornitura del file TXT.
La roadmap iniziale descriveva in dettaglio un piano di sprint di 20 settimane per un Core Team (Zig), un Arsenal Team (C) e un Backend Team (Go), inclusi file complementari per una documentazione approfondita dello sprint e file di standardizzazione dedicati che prescrivono convenzioni di codifica. La revisione da parte di CPR di queste istruzioni di standardizzazione del codice rispetto al codice sorgente VoidLink recuperato ha rivelato un elevato allineamento nelle convenzioni, nella struttura e nei modelli di implementazione. Nonostante sia stato presentato come uno sforzo ingegneristico di 30 settimane, un artefatto di prova recuperato datato 4 dicembre 2025, indicava che VoidLink era funzionante e comprendeva oltre 88.000 righe di codice solo una settimana dopo l'inizio del progetto. Una versione compilata è stata inviata a VirusTotal, segnando l'inizio della ricerca di CPR. CPR ha replicato il flusso di lavoro utilizzando TRAE IDE, fornendo al modello documentazione e specifiche. Il modello ha generato un codice simile al codice sorgente effettivo di VoidLink, in linea con le linee guida del codice, gli elenchi di funzionalità e i criteri di accettazione specificati. Questo rapido sviluppo, che richiede test manuali minimi e perfezionamenti delle specifiche da parte dello sviluppatore, ha emulato l'output di più team di professionisti in un arco di tempo significativamente più breve. VoidLink dimostra che l’intelligenza artificiale può amplificare materialmente la velocità e la portata con cui è possibile produrre una seria capacità offensiva se esercitata da sviluppatori capaci. Ciò sposta la base di riferimento per le attività basate sull’intelligenza artificiale lontano dalle operazioni meno sofisticate e dagli attori delle minacce meno esperti. CPR ha concluso che VoidLink indica l'inizio di un'era di sofisticati malware generati dall'intelligenza artificiale. Pur non essendo un attacco completamente orchestrato dall’intelligenza artificiale, dimostra che l’intelligenza artificiale può facilitare singoli autori di minacce o sviluppatori di malware esperti nella creazione di framework di malware sofisticati, furtivi e stabili simili a quelli dei gruppi di minacce avanzate. CPR ha osservato che l'esposizione dell'ambiente di sviluppo di VoidLink era rara, sollevando dubbi su altri sofisticati framework malware basati sull'intelligenza artificiale senza artefatti visibili.
