SentinelLabs, o filială a SentinelOne, a dezvăluit, la conferința LABScon 2025, o descoperire ce a stârnit interesul comunității de securitate cibernetică: MalTerminal, considerat cel mai vechi exemplu cunoscut până acum de malware bazat pe un model lingvistic mare (Large Language Model).
Ce este MalTerminal și de ce este un caz special
MalTerminal este un fișier executabil pentru Windows, descoperit alături de câteva scripturi Python, toate având în comun integrarea unui model lingvistic avansat (GPT-4) pentru a produce cod malefic la cerere. Mai simplu, utilizatorul putea indica programului să creeze un ransomware sau să deschidă o conexiune secundară către atacator, oferindu-i acces la distanță pe calculatorul compromis. Specialiștii nu au identificat dovezi că ar fi fost utilizat în atacuri reale, ceea ce sugerează că MalTerminal ar putea fi doar un experiment demonstrativ sau un instrument de testare pentru echipele de securitate ofensive.
Mostrele descoperite conțineau linkuri către un API de la OpenAI, retras din funcțiune în noiembrie 2023. Acest detaliu indică faptul că MalTerminal a fost creat înainte de această dată, transformându-l momentan în cel mai vechi exemplu cunoscut de malware bazat pe un model lingvistic mare. 
De asemenea, pachetul descoperit includea un instrument numit FalconShield, menit să detecteze coduri suspecte. Acesta utiliza GPT pentru a analiza un script Python și a genera un raport de analiză a programelor malware. În esență, creatorii nu s-au concentrat doar pe aspectele ofensive, ci au testat și posibile instrumente de protecție bazate pe aceleași tehnologii.
MalTerminal, o nouă categorie de amenințări digitale?
SentinelLabs avertizează că integrarea modelelor lingvistice mari în malware modifică semnificativ modul de operare al atacatorilor. Spre deosebire de codul clasic, care poate fi identificat prin semnătura sa, malware-ul bazat pe modele lingvistice poate crea cod rău intenționat la executare, cu un comportament imprevizibil și adaptativ la sistemul infectat. Pentru experții în securitate, acest aspect înseamnă că metodele tradiționale de detectare ar putea deveni rapid ineficiente.
Totodată, dependența MalTerminal de API-uri și chei de acces lasă urme utile pentru investigații. Cercetătorii au observat că elemente precum cheile incluse în cod și șabloanele de solicitări oferă indicii pentru identificarea altor mostre similare.
Descoperirea are loc pe fondul unei tendințe mai ample, care constă în exploatarea modelelor lingvistice pentru a înșela filtrele AI din soluțiile de securitate. Un exemplu recent demonstrează cum emailurile de tip înșelătorie ascund comenzi HTML pentru a induce în eroare sistemele automate, o tehnică numită otrăvire a modelelor lingvistice. În aceste cazuri, mesajul poate părea inofensiv, însă codul ascuns declanșează lanțuri de atacuri cunoscute, cum ar fi exploatarea vulnerabilităților.
MalTerminal nu pare a fi fost utilizat pe scară largă, însă existența sa dovedește că malware-ul bazat pe modele lingvistice nu mai este o ipoteză, ci o realitate. Anterior, discuțiile despre inteligența artificială în securitate se concentrau pe apărarea sistemelor, însă MalTerminal demonstrează și ceea ce se poate întâmpla atunci când această tehnologie este utilizată de adversari. Cercetătorii consideră aceste descoperiri atât o provocare, cât și o oportunitate de învățare din prototipuri precum MalTerminal, pentru a anticipa atacurile viitoare.
