شرکت امنیتی ESET از کشف PromptLock، اولین باجافزار مبتنی بر هوش مصنوعی خبر داده که میتواند سیستمهای ویندوز، مک و لینوکس را هدف قرار دهد. این بدافزار با استفاده از مدل زبانی gpt-oss:20b شرکت OpenAI و تولید اسکریپتهای Lua بهصورت لحظهای، روشهای سنتی تشخیص بدافزار را دور میزند. در این مقاله از آی تی پالس، نحوه عملکرد، ویژگیها و پیامدهای این تهدید سایبری را با استناد به گزارشهای رسمی و واکنشهای کاربران در X بررسی میکنیم.
نحوه عملکرد باجافزار PromptLock
مکانیسم اصلی
- مدل هوش مصنوعی: PromptLock از مدل متنباز gpt-oss:20b OpenAI بهصورت محلی و از طریق API Ollama استفاده میکند، که نیاز به اتصال مداوم به اینترنت را حذف کرده و ردیابی توسط OpenAI را غیرممکن میسازد.
- اسکریپتهای Lua: این باجافزار با تولید اسکریپتهای Lua از طریق پرامپتهای از پیش تعیینشده، قابلیتهای زیر را اجرا میکند:
- فهرستبندی فایلها: اسکن سیستم فایل برای شناسایی دادههای حساس.
- استخراج دادهها: سرقت اطلاعات انتخابی.
- رمزگذاری: قفل کردن فایلها با الگوریتم SPECK 128-bit.
- تخریب احتمالی: قابلیت نابودی دادهها تعریف شده، اما هنوز کامل پیادهسازی نشده است.
- چندپلتفرمی: اسکریپتهای Lua با ویندوز، لینوکس و macOS سازگار هستند، که انعطافپذیری بالایی به باجافزار میدهد.
چرا Lua؟
زبان Lua به دلیل سبکی، انعطافپذیری و پشتیبانی چندپلتفرمی انتخاب شده است. اگرچه بیشتر در توسعه بازی (مانند Roblox) یا افزونهها استفاده میشود، سادگی آن برای تولید اسکریپتهای مخرب ایدهآل است.
ویژگیهای کلیدی PromptLock
- اجرا در محل: بهجای دانلود مدل چند گیگابایتی، از طریق پروکسی یا تونل به سرور مجهز به Ollama متصل میشود، که ردپای دیجیتال را کاهش میدهد.
- تغییرپذیری: اسکریپتهای تولیدشده در هر اجرا متفاوت هستند، که باعث میشود شاخصهای نفوذ (IoCs) متغیر شده و تشخیص توسط آنتیویروسهای مبتنی بر امضا دشوار شود.
- آدرس بیتکوین جعلی: پرامپتها شامل آدرس بیتکوینی منتسب به ساتوشی ناکاموتو هستند، که احتمالاً بهعنوان یک رد گمراهکننده استفاده شده است.
آنتون چریپانوف، محقق ارشد ESET، اظهار داشت: «ظهور ابزارهایی مانند PromptLock نشاندهنده تغییر اساسی در چشمانداز تهدیدات سایبری است. هوش مصنوعی، حملات پیچیده را برای مهاجمان آسانتر کرده و نیاز به تیمهای توسعه حرفهای را کاهش میدهد.»
وضعیت کنونی: اثبات مفهوم یا تهدید واقعی؟
ESET معتقد است که PromptLock در حال حاضر یک اثبات مفهوم (PoC) یا پروژه در حال توسعه است، زیرا:
- قابلیت تخریب دادهها هنوز فعال نشده است.
- نمونههای آن در VirusTotal (آپلودشده از آمریکا در 25 آگوست 2025) شناسایی شدهاند، اما هنوز در حملات واقعی مشاهده نشدهاند.
با این حال، چریپانوف هشدار داد: «اگر این فناوری بهدرستی پیادهسازی شود، میتواند تشخیص تهدیدات را بهشدت پیچیده کرده و کار مدافعان سایبری را دشوارتر کند.»
پیامدهای امنیتی و چالشها
PromptLock نشاندهنده نسل جدیدی از بدافزارهای پویا و هوشمند است که:
- دور زدن آنتیویروسها: تغییرپذیری اسکریپتها، دفاع مبتنی بر امضا را بیاثر میکند.
- کاهش موانع فنی: مهاجمان غیرحرفهای میتوانند با استفاده از مدلهای زبانی، حملات پیچیدهای اجرا کنند.
- تهدید چندپلتفرمی: سازگاری با سیستمعاملهای مختلف، دامنه تأثیر را گسترش میدهد.
توصیههای امنیتی
ESET برای مقابله پیشنهاد میدهد:
- نظارت بر اسکریپتهای Lua: شناسایی فعالیتهای غیرعادی مانند اجرای اسکریپتهای Lua مرتبط با رمزگذاری یا اسکن فایل.
- محدودسازی دسترسیها: جلوگیری از دسترسی غیرمجاز فرآیندها به فایلهای کاربر.
- EDR (تشخیص و پاسخ نقطه پایانی): استفاده از راهکارهایی که رفتار مشکوک را رصد میکنند، نه فقط امضاها.
واکنشهای کاربران در X
کاربران در X نگرانی و شگفتی خود را ابراز کردهاند:
- یکی از کاربران نوشت: «باجافزار با هوش مصنوعی؟ این دیگه کابوس جدید دنیای سایبریه!»
- دیگری اظهار داشت: «Lua تو Roblox خیلی باحاله، ولی حالا تو باجافزار؟ هکرها دارن خلاق میشن!»
مقایسه با بدافزارهای دیگر
PromptLock شباهتهایی با LAMEHUG، بدافزار مبتنی بر هوش مصنوعی مرتبط با گروههای APT روس، دارد که از مدل Qwen 2.5-Coder برای تولید دستورات سیستمی استفاده میکرد. اما PromptLock با اجرای محلی و حذف وابستگی به APIهای خارجی، گامی فراتر برداشته است.
نتیجهگیری
PromptLock بهعنوان اولین باجافزار مبتنی بر هوش مصنوعی، زنگ خطری برای آینده امنیت سایبری است. این بدافزار با بهرهگیری از مدل gpt-oss:20b و اسکریپتهای Lua، تهدیدی پویا و چندپلتفرمی ایجاد کرده که تشخیص آن چالشبرانگیز است. اگرچه هنوز در مرحله PoC است، پتانسیل آن برای تبدیل به تهدیدی بزرگ، نیاز به راهکارهای امنیتی نوین را نشان میدهد. آی تی پالس، مرجع اخبار امنیت سایبری، شما را با آخرین تحولات این حوزه همراهی میکند.
