Modele LLM bez ograniczeń, czyli rozwój Cybercrime as a Service

Generatywne modele językowe przebojem wdarły się do naszej codzienności. Dziś już wielu nie wyobraża sobie codziennej pracy czy nauki bez ich udziału. Rozwój dużych modeli językowych wpłynął także na obraz zagrożeń w cyberprzestrzeni. Z jednej strony LLM-y mogą pomagać w obronie, z drugiej strony stwarzają zupełnie nowe możliwości dla podmiotów działających po złej stronie mocy.

TLDR:

• Nieposiadający dużych umiejętności cyberprzestępcy stale zyskują nowe narzędzia. Nieograniczone, pozbawione etycznych ograniczeń modele LLM na masową skalę mogą stać się niebezpiecznym narzędziem w rękach osób bez specjalistycznej wiedzy.
• Badacze z Unit 42 przyjrzeli się bliżej dwóm zyskującym popularność modelom – WormGPT i KawaiiGPT. W artykule omówienie raportu oraz wnioski.

Ten problem znany jest jako dylemat podwójnego zastosowania. Czołowi dostawcy rozwiązań AI poświęcają wiele wysiłków, aby ograniczyć możliwości nieetycznego wykorzystania oferowanych przez nich narzędzi. W odpowiedzi na zapotrzebowanie potencjalnych cyberprzestępców powstały modele pozbawione wszelkich ograniczeń etycznych. Modele takie przez badaczy z działającej przy Palo Alto grupy Unit 42 nazywają złośliwymi. W związku z rosnącą popularnością takich rozwiązań postanowili oni przyjrzeć się dwóm różnym modelom, które jednak zasadniczo odróżnia sposób dystrybucji.

A fundamental challenge with large language models (LLMs) in a security context is that their greatest strengths as defensive tools are precisely what enable their offensive power. This issue is known as the dual-use dilemma, a concept typically applied to technologies like nuclear physics or biotechnology, but now also central to AI. Any tool powerful enough to build a complex system can also be repurposed to break one.

W tym miejscu warto doprecyzować pojęcie złośliwych modeli LLM, które pozornie znacząco nie różnią się od tych ograniczonych, powszechnie znanych i publicznie dostępnych. Tym, co je od siebie odróżnia jest odmienny proces uczenia mający na celu usunięcie ograniczeń etycznych i filtrów bezpieczeństwa. Dodatkowo modele takie posiadają wyspecjalizowane funkcje ułatwiające przeprowadzanie i automatyzację kampanii cyberprzestępczych takich, jak generowanie wiadomości phishingowych (wiele wariantów tego samego payloadu), tworzenie polimorficznego złośliwego oprogramowania czy automatyczny rekonesans sieci atakowanego (tj. generowanie gotowych poleceń do zewnętrznych narzędzi). Badacze zwracają uwagę, że rozwiązania te nierzadko wykraczają poza tzw. modele jailbreakowane. Takie modele korzystają z normalnie publicznie dostępnych modeli stosując obejścia ograniczeń etycznych i bezpieczeństwa. Fakt, że wraz z rozwojem modeli stosujących się do norm etycznych, powstają alternatywne rozwiązania, nie podążające ogólnie przyjętymi ścieżkami etycznymi i moralnymi nie powinien być dla nikogo zaskoczeniem. Badacze stawiają tezę, że wynikająca z tego demokratyzacja cyberprzestępczości może być najważniejszym skutkiem rozwoju modeli LLM pozbawionych ograniczeń typowych dla produktów oferowanych przez legalnie działających dostawców.

W przeszłości nawet stosunkowo proste, wtórne pod względem zastosowanych technik, ataki wymagały specjalistycznej wiedzy. Rozwój swego rodzaju podziemia llmowego zmusza nas do nowego spojrzenia na obraz bezpieczeństwa w cyberprzestrzeni. Najnowsze obserwacje badaczy udowadniają, że nawet niezbyt zaawansowani „script kiddies” mogą przeprowadzać złożone wielkoskalowe ataki. Znacząco także skraca się czas potrzebny do przygotowania ataku. Czas potrzebny na zbadanie celu, stworzenie spersonalizowanej przynęty czy dostosowanie narzędzi skraca się z godzin lub dni ręcznej pracy do kilku minut oczekiwania. Ciągły rozwój złośliwych LLM-ów powinien być dla nas ostrzeżeniem, bowiem ofensywne możliwości sztucznej inteligencji stają się coraz bardziej dojrzałe i coraz szerzej dostępne.

Cybercrime as a Service

Jednym ze zjawisk, na jakie zwracają uwagę badacze, jest kolejny etap komercjalizacji cyberprzestępczości. Uruchomienie usługi opartej na subskrypcji, z której aby skorzystać, nie trzeba mieć żadnej szczególnej wiedzy startowej i która jest dostępna dla szerokiego grona odbiorców sprawiło, że techniki ofensywnego, spersonalizowanego atakowania stały się dostępne dla tych, dla których dotychczas z powodu braku odpowiednich kompetencji pozostawały poza zasięgiem możliwości. Rozwijające się, skrojone na miarę usługi dla cyberprzestępczości sprawiają, że problem braku kompetencji przestaje odgrywać istotną rolę. Opisywane rozwiązania pozwalają w znacznej mierze pokonać dotychczasową barierę wstępu do świata cyberprzestępczości. Jednym z przykładów takiej usługi jest WormGPT. Nieograniczony i określany przez autorów badania jako złośliwy. Subskrypcyjny charakter tej usługi mieści się w definicji cybercrime-as-a-service. Z deklaracji twórców wynika, że został zbudowany na podstawie modelu open source GPT-J 6. Według autorów rozwiązania, miał zostać wzmocniony specjalnymi, złośliwymi zbiorami danych ze szczególnym naciskiem na dane związane ze złośliwym oprogramowaniem. Zestawy danych rzekomo wykorzystywane przez WormGPT zawierały kod złośliwego oprogramowania, opisy exploitów i szablony phishingu. Z rozwojem usługi związana była szeroko zakrojona akcja promocyjna. Reklamowana była jako alternatywa dla legalnych modeli LLM, zdolna do pomocy w zwalczaniu wszelkich form nielegalnej działalności ( ;-) ).

Raport odnotowuje, że WormGPT potrafił generować niezwykle przekonujące i trafne kontekstowo wiadomości typu BEC. Mógł także generować fragmenty złośliwego kodu w różnych językach programowania, co znacząco ułatwiało mniej doświadczonym użytkownikom szybko tworzyć i modyfikować złośliwe oprogramowanie bez konieczności posiadania rozległej wiedzy.

Rozgłos medialny i związana z nim krytyka, jakie spotkały WormGPT, sprawiły, że jego twórca zdecydował się zamknąć projekt w połowie 2023 roku, jednak nie od dziś wiadomo, że natura nie znosi próżni. Dwa lata później w „podziemiu” powstał – roboczo nazwany przez badaczy – WormGPT 4. Twórcy nie zdradzają informacji dotyczących architektury modelu i danych treningowych. Nie jest jasne, czy rozwiązanie opiera się na nieetycznie wytrenowanym modelu czy też na technikach jailbreakingu innych modeli. Podobnie, jak swój pierwowzór funkcjonuje jako komercyjna usługa oferowana w modelu subskrypcyjnym z opcjonalną możliwością licencji dożywotniej.

Odbiorcy usługi otrzymują wszechstronne narzędzie oferujące bogate możliwości skalowania i automatyzacji ataków. Możliwości językowe modelu pozwalają skutecznie wyeliminować charakterystyczne błędy merytoryczne i gramatyczne, które dotychczas były jednym z istotnych wskaźników próby ataku phisingowego. Badacze z Unit 42 w swoim raporcie udowadniają, że WormGPT 4 może generować komunikaty, które przekonująco naśladują prezesa firmy lub zaufanego dostawcę, co pozwala omijać dotychczasowe mechanizmy i procedury kontrolujące komunikację. Ta wiedza powinna uświadomić wszystkie osoby odpowiedzialne za bezpieczeństwo w swoich organizacjach, że rozwój i coraz łatwiejszy dostęp do nieetycznych modeli językowych wymusza zweryfikowanie dotychczasowego spojrzenia na metody odpierania ataków oraz konieczność dalszej edukacji w celu zwiększania świadomości tak użytkowników, jak i administratorów systemów.

Możliwości modelu nie sprowadzają się tylko do tworzenia wiarygodnie wyglądających kampanii phishingowych. Badacze postanowili przetestować WormGPT 4 w zakresie generowania gotowego złośliwego oprogramowania. W tym celu poprosili model o napisanie skryptu szyfrującego i blokującego wszystkie pliki PDF w systemie Windows. W odpowiedzi na zadany prompt, badacze otrzymali działający skrypt w PowerShellu zawierający konfigurowalne ustawienia rozszerzenia pliku i ścieżki wyszukiwania bazujący na szyfrowaniu AES-256. Skrypt ten posiadał również opcjonalny komponent do eksfiltracji danych przez sieć Tor. Jak wskazują autorzy raportu, może to świadczyć o tym, że narzędzie skierowane jest na wspieranie półprofesjonalnych, nastawionych na zysk operacji cybernetycznych. Dodatkowo operator otrzymuje wygenerowane żądanie okupu wspominające o „szyfrowaniu na poziomie wojskowym”. Całość została zaprojektowana tak, aby zaoferować kompleksową usługę i maksymalnie uprościć procedurę przeprowadzenia ataku, przeprowadzając atakującego krok po kroku przez wszystkie fazy ataku.

KawaiiGPT – nieograniczony LLM dla każdego

WormGPT jest gotową, płatną usługą działającą w modelu subskrypcyjnym lub z licencją dożywotnią, jednak płatne rozwiązania nie są jedyną ścieżką, po której mogą podążać niewykwalifikowani cyberprzestępcy. Ci, którzy nie mogą lub nie chcą płacić za dostęp do modelu, mogą skorzystać z rozwiązań darmowych, dostępnych do uruchomienia we własnej infrastrukturze. Jednym z takich rozwiązań jest dostępny na GitHubie KawaiiGPT. Po raz pierwszy zidentyfikowany w lipcu 2025 roku i obecnie występujący w wersji 2.5. Model zaprojektowany został z myślą o łatwości konfiguracji. Testy wykazały, że uruchomienie go w większości dystrybucji Linuksa zajmuje mniej niż pięć minut. Takie rozwiązanie znacząco obniża próg wejścia do świata cyberprzestępczości. Po uruchomieniu modelu, użytkownik otrzymuje gotowy do użycia interfejs wiersza poleceń znacznie obniżając próg wejścia w stosunku do innych podobnych LLM-ów.

Autorzy raportu postanowili przetestować możliwości modelu pod kątem tworzenia wiadomości phishingowych. Po otrzymaniu promptu o wygenerowanie wiadomości e-mail typu spear phishing, podszywającej się pod fałszywy bank, model natychmiast generuje profesjonalnie wyglądającą wiadomość z tematem – nie jest wymagana zabawa z jailbreakingiem, jak w przypadku modeli ogólnodostępnych.

Podobnie, jak WormGPT, KawaiiGPT oferuje szeroki wachlarz metod oddziaływania socjotechnicznego na potencjalne ofiary. W ramach testów badaczom udało się wygenerować tekst będący oszustwem polegającym na zbieraniu danych uwierzytelniających. Zgodnie z zaproponowanym scenariuszem ataku, ofiara miała zostać skierowana do fałszywego linku weryfikacyjnego, a następnie na kolejnych stronach poproszona o podanie poufnych informacji, takich jak dane karty i data urodzenia. KawaiiGPT prezentuje także możliwości tworzenia gotowych skryptów. W odpowiedzi na prompt o skrypt do ruchu bocznego (ang. lateral movement) na hoście z Linuksem, model był w stanie dostarczyć funkcjonalny plan ataku na sieć za pomocą modułu SSH paramiko w Pythonie.

Jak zwracają uwagę badacze, zaproponowane rozwiązanie nie jest szczególnie nowatorskie, jednak automatyzuje ważny etap włamania. Finalnie skrypt ustanawia połączenie SSH wraz z powłoką, co umożliwia atakującemu łatwą interakcję z celem. Model oferuje możliwości generowania skryptów do automatycznej eksfiltracji danych, dzięki czemu nawet nie posiadający niezbędnych kompetencji atakujący są w stanie przeprowadzić skuteczny atak. Perspektywa użycia napisanych w taki sposób skryptów nie jest czysto teoretyczna. Testy wykazały, że generowane oprogramowanie jest tworzone w sposób komplementarny z uwzględnieniem realnych scenariuszy wykorzystania.

Na zamieszczonym powyżej zrzucie można zauważyć, że skrypt importuje niezbędne moduły (os, smtplib), a następnie definiuje funkcje wymagane do lokalizowania, pakowania i przesyłania plików. Dzięki wykorzystaniu biblioteki smtplib, która jest legalnym modułem Pythona, działalność stworzonego przez KawaiiGPT skryptu wtapia się w normalny ruch sieciowy. To pokazuje, jak bardzo możliwości przeprowadzania bardziej złożonych ataków stają się dostępne dla osób o niewielkiej wiedzy technicznej. Całość powinna skłaniać nas do zdefiniowania na nowo pojęcia „script kiddie” i ponownego zrozumienia zagrożeń wynikających z ich działalności.

Podsumowanie

To banalne stwierdzenie, ale świat stale się zmienia, także ten cyfrowy. Nawet jeśli złośliwe modele LLM nie są rewolucyjne pod względem technik ataku i nie wprawią w zachwyt doświadczonych specjalistów od bezpieczeństwa, to już sam fakt coraz większej dostępności takich rozwiązań oraz ich przystępność, a co za tym idzie możliwa skala takich takich ataków powinny być sygnałem alarmowym. Jak napisali autorzy raportu: „Any tool powerful enough to build a complex system can also be repurposed to break one.”. Nie jest to pierwsza sytuacja, kiedy narzędzia mogące służyć do szeroko rozumianej obrony stają się bronią w rękach cyberzbójów, jednak ważne jest, aby odpowiednio ukierunkować działania zapobiegawcze. Wszelkie środki zaradcze powinny być skierowane w stronę skutecznej edukacji administratorów i użytkowników oraz budowania systemów odpornych na możliwości wielkoskalowego szybkiego przeprowadzania złożonych ataków (także z wykorzystaniem AI), nie zaś zmierzać w kierunku zakazywania prawnego konkretnych narzędzi.

Źródło: Unit 42

~pu