Un gruppo di ricercatori dell’Università di Toronto, del Vector Institute e dell’Università di Cambridge ha sviluppato un prototipo sperimentale di worm basato sull’intelligenza artificiale capace di individuare autonomamente vulnerabilità, generare strategie di compromissione personalizzate e propagarsi all’interno di una rete senza intervento umano diretto. Il sistema è stato testato in un ambiente controllato che riproduceva un’infrastruttura aziendale composta da server, workstation e dispositivi Internet of Things, dimostrando la possibilità di realizzare malware autoreplicanti supportati da modelli linguistici open-weight.
A differenza dei worm tradizionali, che utilizzano exploit predefiniti e sono generalmente progettati per sfruttare una specifica vulnerabilità, il prototipo sviluppato dai ricercatori utilizza un Large Language Model per analizzare dinamicamente l’ambiente bersaglio. Una volta compromesso un sistema, il malware raccoglie informazioni sul sistema operativo, sui servizi in esecuzione, sulle configurazioni di rete e sugli account disponibili, utilizzando tali dati per determinare autonomamente il successivo percorso di attacco.
L’architettura proposta è composta da due elementi principali. Il primo è rappresentato dal modello linguistico eseguito su infrastrutture GPU compromesse, mentre il secondo consiste in un framework agentico incaricato di gestire osservazione, pianificazione ed esecuzione delle operazioni. All’interno di questa struttura sono presenti un nucleo decisionale che valuta continuamente lo stato della rete, un sistema di memoria che conserva le informazioni raccolte durante la propagazione e un insieme di strumenti operativi utilizzati per accedere ai sistemi, trasferire file ed eseguire payload dannosi.
Uno degli aspetti più innovativi del progetto riguarda l’utilizzo delle risorse computazionali dei dispositivi già compromessi. Invece di eseguire il modello AI localmente su ogni macchina infetta, il worm sfrutta una struttura distribuita nella quale i dispositivi a capacità limitata delegano le operazioni di inferenza a server GPU precedentemente conquistati. Questo approccio consente di ridurre drasticamente il costo computazionale necessario per espandere l’attacco e permette al malware di beneficiare di una crescente disponibilità di risorse man mano che la compromissione si estende.
Nel corso degli esperimenti il sistema è stato in grado di adattare il proprio comportamento a differenti tipologie di dispositivi, generando strategie di attacco specifiche per ogni ambiente anziché applicare lo stesso codice malevolo a tutti i bersagli. Questa capacità di adattamento rappresenta una differenza sostanziale rispetto ai worm storici come SQL Slammer, Conficker, Stuxnet o WannaCry, che operavano sfruttando vulnerabilità note e modalità di propagazione predeterminate.
Secondo i ricercatori, la caratteristica più rilevante del prototipo non risiede nella velocità di diffusione, ma nella capacità di apprendimento continuo durante l’operazione. Il worm aggiorna costantemente la propria conoscenza della rete, memorizza i risultati degli attacchi precedenti e modifica il comportamento futuro sulla base delle informazioni raccolte. Questo meccanismo rende più difficile interrompere la propagazione attraverso una singola correzione software o una singola misura difensiva.
Lo studio evidenzia inoltre come tali capacità possano essere ottenute utilizzando esclusivamente modelli open-weight disponibili pubblicamente, senza la necessità di accedere a sistemi proprietari o a servizi controllati tramite API. Questo elemento assume particolare rilevanza dal punto di vista della sicurezza, poiché rende teoricamente possibile replicare approcci simili utilizzando tecnologie liberamente scaricabili e modificabili.
I ricercatori sottolineano tuttavia che il lavoro è stato condotto in un ambiente sperimentale controllato e che la dimostrazione tecnica non implica automaticamente la possibilità di replicare gli stessi risultati su larga scala in contesti reali. Le attuali limitazioni dei modelli AI, incluse imprecisioni, errori di ragionamento e comportamenti imprevedibili, rappresentano ancora ostacoli significativi per l’impiego operativo di sistemi di questo tipo.
Parallelamente, il progetto evidenzia come le stesse tecnologie possano essere impiegate anche in ambito difensivo. Modelli capaci di identificare autonomamente vulnerabilità, analizzare configurazioni e generare procedure correttive potrebbero infatti essere utilizzati per sviluppare sistemi di rilevamento proattivo e piattaforme di patching automatico in grado di intervenire prima che una vulnerabilità venga sfruttata da attori malevoli. In questo scenario, l’intelligenza artificiale non rappresenterebbe soltanto una nuova superficie di attacco, ma anche uno strumento destinato a svolgere un ruolo sempre più importante nella protezione delle infrastrutture digitali.