多伦多大学研究人员演示AI蠕虫可攻击任何联网设备
阅读原文· utoronto.ca多伦多大学团队首次证明能用公开AI模型构建自适应蠕虫,成本近乎零,所有联网设备都在射程内,而现有防御还没准备好。安全圈该坐不住了。
多伦多大学研究人员展示了一种人工智能蠕虫,能够主动传播并攻击任何联网设备,无需人工干预即可在系统间移动。这项研究揭示了AI驱动自主攻击的潜在威胁。
多伦多大学研究人员演示AI蠕虫可攻击任何联网设备 | 多伦多大学
多伦多大学新闻
关注多伦多大学新闻
多伦多大学研究人员演示AI蠕虫可攻击任何联网设备
该研究在一个安全的数字实验室中进行,旨在帮助网络安全界为迫在眉睫的威胁做好准备
研究员Nicolas Papernot及其合作者表明,公开可用的AI模型可用于驱动一种蠕虫,该蠕虫在传播过程中会调整其策略(照片由Nick Iwanyshyn拍摄)
发布日期:2026年6月2日
作者:Adina Bresge
多伦多大学的一个研究团队发现了一类新的网络威胁,使黑客能够以更低的成本获得更大的能力和范围。它可以用免费的AI模型构建。每一个联网设备都是潜在目标。而当前的网络防御尚未对此做好准备。
这些研究人员于6月2日发布了他们的工作,据信是首个展示公开可用的AI模型可以驱动一种蠕虫的团队,该蠕虫在从一个设备传播到下一个设备时会调整其策略。它可以夺取整个网络的控制权并劫持算力,使黑客能够以几乎零成本发起复杂的攻击。
该研究在与外界隔绝的安全数字实验室中进行,结果表明,技术高超的黑客不需要尖端的AI或雄厚的资金就能释放出能够实时学习、计算和转向的恶意软件——当它在系统中扩散时,它会利用每个设备中已知的漏洞。
这些发现引发了对我们互联世界安全的深切担忧——从金融系统到医院,再到支撑关键服务的网络。
“在坏人自己发现这种威胁之前,我们必须在受控的学术环境中了解它,这是至关重要的,”Nicolas Papernot说。他与他的CleverHans实验室(位于多伦多大学和Vector Institute)的成员共同撰写了这项研究,他是加拿大CIFAR(加拿大高等研究院)AI教席。
Papernot——他同时也是多伦多大学应用科学与工程学院的计算机工程副教授,以及文理学院的计算机科学副教授——补充说,这项研究是在经过仔细审查、删除了可能帮助威胁行为者的任何信息后才公开的,并指出众所周知这类工作正在闭门进行。他说,他感到有义务尽早公开,以便让研究人员、政策制定者和公众有机会保护自己,免受一种从日常笔记本电脑延伸到暖通空调系统和电网的新兴威胁。
在发表之前,研究人员将他们的发现分享给了国家科学、安全和国防机构,并就如何负责任地发布信息征询了建议。
“我们做这项研究的原因是为了确保我们都依赖的数字生态系统的安全——为了保护人们的安全。这一发现将我们推入了一个网络安全的新时代,”Papernot说,他是多伦多大学施瓦茨·赖斯曼技术与社会研究所的教职成员,该研究所专注于确保AI是负责任、包容且对所有人有益的。
“通过了解风险,我们现在有能力开发必要的对策,来检测和防御这类威胁。”
被低估的威胁
作为世界顶尖的网络安全专家之一,Papernot将其实验室的使命定为预测最重要的安全关切——甚至是网络安全社区尚未关注的那些。
像Anthropic的Claude Mythos这类最强大AI模型的兴起,引发了对其前所未有的发现隐藏安全漏洞能力的广泛警惕,尽管大型科技公司严格控制以防止滥用。
然而,Papernot的团队关注的是那些任何人都可以免费下载和修改的、相对简单的小型模型可能被滥用的风险。虽然对研究人员和开发者有价值,但这些“开放权重”AI模型可以被去除安全护栏,并在具备足够技术知识的情况下被操纵来造成危害。
这种风险往往被低估,其假设是这些模型缺乏造成真正破坏的能力。因此,Papernot的团队决定在安全的学术环境中测试这一假设。
构建一个原型
蠕虫是一种数字入侵者,它会在网络中爬行,自我复制到它所接触的每一个设备上——无需点击,用户也无法察觉。一旦它扎根,就能在整个系统中造成严重破坏。传统上,这类攻击遵循人类编写的固定脚本。如果它碰到脚本未设计破解的防御措施,就会失败。网络安全专家深知这一点,并已构建了防御措施来遏制此类威胁。
为了打造基于人工智能的版本,Papernot 团队在一个安全、封闭的系统中构建了一个概念验证原型,并采取了广泛的预防措施。他们的实验在模拟数十个互连设备(包括笔记本电脑、打印机和摄像头)的环境中,模拟了由 AI 驱动的蠕虫病毒的能力。
研究人员的工作表明,开放权重 AI 模型可能被用来制造一种更复杂的威胁——这种威胁能评估每个目标、定制攻击方式、在机器被控制后克隆自身到下一台设备。蠕虫病毒在深入网络的同时还会收集信息,每一次入侵都会暴露密码和薄弱点,这些信息可以用来解锁另一台机器。而且因为它能自适应,没有任何单一的防御措施能够阻止它。
蠕虫病毒以受害者的代价来扩大其攻击范围。一旦它嵌入一台机器,AI 蠕虫就会窃取处理能力来驱动其推理,并发起下一次攻击。这些被窃取的计算资源推动了它的传播,从而实质上消除了每次新感染的成本。
“黑客过去通常不得不优先攻击最高价值的目标,因为时间和计算资源是有限的,”Papernot 说。“但现在,一旦蠕虫被释放,成本将降至几乎为零。”
与之前关于通过 AI 应用自我传播的蠕虫病毒的研究不同,研究人员的原型代表了一种可以在 AI 系统之外运作、攻击底层软件的威胁,这使得更广泛的设备面临风险。
“每一个连接互联网的设备——笔记本电脑、摄像头、智能恒温器等等——都会成为潜在目标,即便不是为了其存储的数据,也会作为攻击更有价值目标的跳板。”
网络威胁的新时代
虽然研究表明,AI 蠕虫不需要昂贵的模型或计算能力,但构建一个仍然需要技术专长。即便如此,Papernot 认为防御的时间窗口正在迅速关闭——而且网络安全界还没有为即将到来的情况做好准备。
与强大且受到严密保护的 Mythos 不同,这个原型并不能根除未知的弱点。但在不受控制的环境中,该蠕虫能够接入互联网,扫描并利用关于新发现漏洞的警告公告,其速度超过了旨在阻止这些漏洞的软件补丁。
其中一些问题可以通过软件更新修复。但另一些则是人为错误,例如弱密码和粗心的 IT 配置,这些无法通过推送补丁来解决。这意味着黑客不需要最先进的 AI 模型就能造成前所未有的破坏。
“在互联互通的世界里,没有任何系统能免受这种威胁,”Papernot 说道。“公布这些发现是激励研究人员、行业领袖和政策制定者迅速采取行动的第一步。”
每一台设备都可能成为下一次攻击的信息来源,因此保护好自己的设备能让整个网络更难以攻破。Papernot 敦促 IT 专业人士强化所有可能使系统暴露的安全设置。用户也需要尽自己的一份力。
“每个人在维护我们的安全方面都扮演着角色,”Papernot 说道。
这意味着要保持良好的安全习惯:及时为设备安装补丁并保持最新状态;使用强密码;启用多因素认证。
“我们再也承受不起在软件更新上点击‘忽略’的代价了,”他说。“你关上的每一扇门都意味着少了一条入侵途径,所以花几分钟重启是值得的。”
博士生 Jonas Guan(左),Nick(Hengrui)Jia(中),以及多伦多大学副教授 Nicolas Papernot(摄影:Nick Iwanyshyn)
以披露促防御
对 Papernot 来说,发表这些发现本身就是一种防御行动,而学术研究具有独特的优势来发起这种行动。
他提到了多伦多大学名誉教授 Geoffrey Hinton 开创的先例,Hinton 因在引领 AI 革命中的角色而获得诺贝尔奖。“Geoffrey 一直积极强调学术研究在 AI 监管决策中所起的作用。学术界、产业界和政府的这种集体动员,正是我们应对此处所识别的、由 AI 驱动的计算机蠕虫这种新威胁所需要的。”
在网络安全研究中,在受控环境中构建概念验证原型以更好地理解新兴威胁并评估针对它们的防御措施,是一项成熟的做法。在学术环境中开展此类研究可确保研究保持独立、遵守道德与安全标准,并接受审查与检验,最终使更广泛的社区受益。
帕佩诺特感谢他的合著者与合作者乔纳斯·关、汤姆·布兰查德、汉娜·弗斯特、亨格鲁伊·贾和加布里埃尔·黄为揭示这一威胁所做的贡献。
他的实验室已经在积极开发应对措施。他表示,多伦多大学是开展这项工作的理想之地。“多伦多大学拥有解决这类重大问题所必需的深厚 AI 专业能力、多学科人才、安全的研究环境、基础设施以及机构规模,”他说,“解决这个问题的办法将涉及增加各种规模的开源 AI 模型的可用性,以及让创造最强大模型的公司提高透明度。”
“我们已准备好与世界其他地区合作,寻找解决方案,并建设一个更安全的未来。”
分享此页面
主题
重大研究
标签
网络安全、施瓦茨·赖斯曼技术与社会研究所、人工智能、CIFAR、计算机科学、电气与计算机工程、应用科学与工程学院、文理学院、研究与创新、Vector 研究所
新闻通讯
订阅《简报摘要》
UTC
更多多伦多大学新闻
2026年6月12日 迈步向前:毕业生从多伦多大学哈特之家走向多伦多节奏舞蹈队
2026年6月12日 毕业礼堂,近距离观察:多伦多大学木匠分享这座标志性建筑的独特之处
2026年6月11日 从挫折到第二次开始:一位多伦多大学毕业生如何找到自己的立足点——并帮助他人也做到这一点