超越人类，AI编写的恶意挖矿软件 “Koske”

图片

人工智能恶意软件已不再是噱头，其功能已达到甚至超越传统人工开发恶意软件的水平。

近期，Aqua Nautilus 安全团队的研究人员在蜜罐中捕获了一款新型 Linux 恶意软件，将其命名为 “Koske”。从本质上看，它是一款加密货币挖矿程序，能识别受感染计算机的性能，进而运行经过优化的挖矿程序，可挖掘门罗币、raven 币等 18 种不同的加密货币。

Aqua Nautilus 的威胁情报主管阿萨夫・莫拉格表示，通过 AI 检测工具分析发现，Koske 几乎 100% 由人工智能生成。对其代码进行初步审查就能得出这一结论：代码中穿插着 “AI 式注释”，详细解释各部分功能，且代码结构本身也带有独特的人工智能风格。

尽管 2025 年的人工智能恶意软件已不足为奇，但 Koske 的突出之处在于其高度复杂性 —— 在某些方面，它的 sophistication 甚至超过了除顶尖水平外的人类编写恶意软件。

“作为防御者，这一现象令人震惊。” 莫拉格指出，“过去，脚本小子编写的代码漏洞百出，而现在我们看到的恶意代码质量越来越高，它们成功入侵的概率也会大大增加。”

01 人工智能加持的初始感染路径

Koske 主要通过暴露在互联网上的服务器配置漏洞入侵目标网络。例如，Aqua Nautilus 团队就观测到它利用 JupyterLab 实例发起攻击。为隐藏真实目的，它通过短链接网站部署。

更引人注目的是，这款恶意软件借助 “烟幕弹” 潜入系统：人工智能生成的可爱熊猫图片。这并非隐写术 —— 恶意可执行文件被附加在合法 JPEG 图片末尾，形成多格式文件。这些图片的主要作用并非社会工程学攻击，而是绕过安全软件检测。毕竟，安全软件对 JPEG 文件中隐藏恶意软件的扫描力度，通常弱于对原始可执行文件的扫描。

图片

莫拉格认为，即便在恶意软件运行前，也能看出人工智能的影响。他表示：“攻击的传播机制设计周密，没有人类攻击者常见的疏漏，虽然无法完全确定，但我推测攻击者利用人工智能策划了整个攻击流程，这很可怕。”

02 Koske 的工作机制

Koske 通过层层手段在目标系统中建立持久存在并隐藏自身。它会安装 rootkit、设置定时任务（cron jobs）、修改 Linux 启动文件，确保系统重启后仍能运行。

图片

尤其值得注意的是，Koske 会极力维持与命令与控制（C2）基础设施的连接。它借助多种工具检查更新和接收命令，若连接受阻，无需人工介入，就能自动执行一系列故障排除步骤 —— 重置并修改代理和域名系统（DNS）设置、删除防火墙规则等。若这些步骤仍未奏效，它会自动搜索网络上的代理列表，通过暴力破解找到可用代理，重新建立与控制端的连接。

“我以前没见过多少能做到这一点的工具。” 莫拉格坦言。

理论上，人类开发者也能编写此类功能，但在过去，这需要极高的编码水平。“开发者需要了解大量资源，还得想出替代方案 — 比如无法从 X 地址下载时，如何用代理解决。” 莫拉格解释道，“但有了人工智能，编写这类代码的门槛大幅降低。”

莫拉格结合自身经验举例：“搭建蜜罐并不容易，需要设计存在配置漏洞或固有缺陷的应用。在人工智能出现前，我搭建这类应用要花两周时间，现在只需一两个小时。” 据此他推测：“基于我搭建蜜罐的经验，这些攻击者可能只用两三个小时就完善了代码。”