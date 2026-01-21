Специалисты компании Check Point сообщили, что обнаруженная ими недавно Linux-малварь VoidLink, судя по всему, была разработана одним человеком, который использовал ИИ и создал вредоноса примерно за неделю.

VoidLink представляет собой продвинутый фреймворк для заражения Linux-систем с модульной архитектурой. Малварь включает более 30 модулей, которые можно комбинировать под конкретные задачи: от скрытности и разведки до повышения привилегий и бокового перемещения по сети.

Вредонос написан на Zig, Go и C, способен определять, работает ли зараженная машина внутри популярных облачных сервисов (AWS, GCP, Azure, Alibaba, Tencent). Малварь маскирует трафик под обычную веб-активность и использует руткит-функциональность для большей скрытности.

В первом отчете эксперты отмечали, что функциональность VoidLink значительно превосходит типичные Linux-угрозы — это полноценная экосистема для долгосрочного скрытного доступа к скомпрометированным системам, особенно в облаке и контейнеризованных средах. Тогда предполагалось, что малварь создана китайскими разработчиками, «обладающими глубокими знаниями в нескольких языках программирования».

Однако на этой неделе аналитики Check Point опубликовали новый отчет, в котором пишут, что разработка вредоноса началась в конце ноября 2025 года, когда его создатель обратился за помощью к TRAE SOLO — ИИ-помощнику, встроенному в TRAE компании ByteDance (среду разработки, заточенную под работу с искусственным интеллектом).

Дело в том, что создатель вредоноса допустил множество OPSEC-ошибок, в результате которых были раскрыты исходный код, документация, планы спринтов и внутренняя структура проекта.

Хотя исследователи не получили доступ к полной истории переписки в IDE, они нашли на сервере злоумышленника вспомогательные файлы от TRAE, которые содержали ключевые фрагменты оригинальных инструкций.

«Эти файлы, сгенерированные TRAE, по всей видимости, были скопированы вместе с исходным кодом на сервер атакующего, а позже стали доступны из-за открытой директории. Эта утечка дала нам необычно прямой доступ к самым ранним директивам проекта», — говорят эксперты.

Проведенный анализ показал, что создатель VoidLink использовал SDD (Spec-Driven Development), чтобы определить цели проекта и задать ограничения, а затем поручил ИИ сгенерировать план разработки для нескольких команд. План включал архитектуру, спринты и стандарты. Затем эта документация послужила основой для генерации кода с помощью ИИ.

Сгенерированная документация описывала проект для трех команд разработки, который должен был занять от 16 до 30 недель. Однако, судя по временным меткам и тестовым артефактам, которые нашли эксперты, VoidLink был готов уже через неделю, а к началу декабря 2025 года объем кода достиг 88 000 строк.

Подчеркивается, что исследователи убедились, что спринт-спецификации и восстановленный исходный код малвари совпадают почти на 100%. Исследователи успешно воспроизвели весь рабочий процесс и подтвердили, что ИИ-агент способен генерировать код, структурно практически идентичный VoidLink.

В Check Point заявляют, что у них практически не осталось сомнений в происхождении кода вредоноса и называют VoidLink первым задокументированным примером продвинутой малвари, которая полностью создана с помощью ИИ.

Эксперты считают, что VoidLink знаменует собой новую эру: теперь всего один разработчик малвари с хорошими техническими знаниями может достичь результатов, которые раньше были доступны только командам с немалыми ресурсами.