Главная

  1. Страницы
  2. Главная
Обложка статьи

PROMPTFLUX

Новости · 06.11.2025
🚀 Не просто читай — прокачивайся! Зарегистрируйся в Kraken Academy и учись на практике: стенды, модули и реальные скиллы.

Первый вирус, который сам себя рерайтит с помощью Gemini

Google Threat Intelligence Group сдул пыль с чего-то реально безумного: свежий экспериментальный малварь PROMPTFLUX, написанный на VBScript, который не просто шифруется и плодится — он общается с Gemini AI и каждые час-два переписывает собственный исходник, чтобы уйти от детектов антивиров. Встречайте первый живой пример самопереписывающегося кода, который просит искусственный интеллект быть его личным “кодером на фрилансе”.

По данным Google, малварь использует встроенный API-ключ и долбит Gemini 1.5 Flash запросами вроде: “Эй, придумай новую обфускацию, чтобы антивир не палил меня.” В ответ получает свежий кусок VBScript-кода и сам себя патчит — классическая JIT-модификация, но с LLM-мозгом. Обновлённая версия сразу сохраняется в автозагрузку Windows и начинает размножаться по флешкам и сетевым шарам.

Google назвал этот фокус “Thinking Robot”, иронично намекая, что теперь даже скриптовые вирусы пытаются “думать”. Однако функция AttemptToUpdateSelf() пока закомментирована — малварь ещё в стадии теста. Но логирование ответов ИИ в thinking_robot_log.txt ясно показывает: автор реально хотел создать метаморфный скрипт, способный эволюционировать на лету.

GTIG уже выцепил несколько версий PROMPTFLUX — от тестовых билдов до вариаций, где весь код рерайтится каждый час, будто у малвари включён CRON-джоб “обновить себя до неузнаваемости”. Всё это наводит на мысль, что кто-то тренируется запускать полноценный LLM-зомби-ботнет.

Пока вредоносу не хватает механизма реальной эксплуатации, но направление тревожное: AI-паразиты начинают паразитировать на самих AI-моделях. И если сегодня PROMPTFLUX просто логирует ответы Gemini, завтра он сможет генерить payload под задачу в реальном времени, как это уже делают другие LLM-малвари.

Google перечислил и другие AI-опыты с даркнета:

  • FRUITSHELL — PowerShell-шелл, который юзает LLM-промпты для обхода детектов.

  • PROMPTLOCK — кроссплатформенный рансом на Go, который вызывает ИИ для генерации Lua-скриптов на лету.

  • PROMPTSTEAL (aka LAMEHUG) — майнер и стиллер от APT28, где промпты идут через Qwen2.5-Coder API на HuggingFace.

  • QUIETVAULT — JavaScript-вор, охотящийся за токенами GitHub и NPM.

А дальше — хуже. Китайские и иранские группировки уже массово юзают Gemini для фишинга, разведки и разработки C2-фреймворков. Некоторые, чтобы обмануть фильтры Google, прикидываются участниками CTF-турниров, прося “подсказать эксплойт для учебного задания”. LLM, не видя подвоха, спокойно вываливает нужный код.

Google прямо говорит: “AI уже не инструмент — это оружие. Вчера его тестили, сегодня им атакуют.”
По сути, PROMPTFLUX — первая мутация, показывающая, куда всё идёт: самопереписывающийся, автономный код, который не просто учится — он уже живёт.

📘 Понравилась статья?
Больше практики — в Kraken Academy.
Подписывайся на наш Telegram-канал.
Рекомендуемые статьи
Обложка

Erlang/OTP под огнём

Читать полностью →
Обложка

Windows снова поймал баг

Читать полностью →
Обложка

Apple снова затыкает дыру

Читать полностью →