Фахівці вперше виявили шкідливу програму, яка використовує для роботи штучний інтелект. Вона може заражати пристрої на Windows, Linux та macOS.

Як заявили у лабораторії ESET Research Labs, за допомогою ШІ програма-вимагач, яку назвали PromptLock, генерує Lua-скрипти, що сканують файлову систему пристрою, відфільтровують потрібні дані, після чого викрадають чи зашифровують їх.

Зазначається, що для роботи вірус використовує одну з моделей компанії OpenAI з відкритим кодом — gpt-oss-20b, випущену менше місяця тому. За даними спеціалістів, Lua-скрипти можуть виконувати різні функції в системах Windows, macOS та Linux, збиваючи з пантелику захисні інструменти і демонструючи щоразу різну поведінку.

#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes 1/6 pic.twitter.com/wUZS7Fviwi — ESET Research (@ESETresearch) August 26, 2025

"PromptLock використовує Lua-скрипти, згенеровані на основі чітко заданих запитів, для перегляду локальної файлової системи, перевірки цільових файлів, вилучення вибраних даних та виконання шифрування. Шкідлива програма може витягувати дані, шифрувати їх або потенційно знищувати. Хоча функція знищення, схоже, поки не реалізована", — йдеться у повідомленні ESET Research Labs на Mastodon.

Як відомо, Lua — це мова програмування, яка створена у 1993 році працівниками Папського католицького університету Ріо-де-Жанейро в Бразилії. Вона часто використовується для створення ігор. Серед найбільш яскравих прикладів — World of Warcraft і Dota 2. Одним із діалектів цієї мови є Luau, що також використовується для створення ігор на популярній платформі Roblox.

Приклад запиту на генерацію Lua-коду для шкідливого ПЗ PromptLock

Дослідники відмітили, що в одному з промптів використовується адреса біткоїн-гаманця, який може бути пов'язаний із Сатосі Накамото. Це псевдонім творця біткоїну, особа якого не розкрита. Журналісти припускають, що це є тимчасовою заглушкою та підтвердженням того, що вірус знаходиться на ранній стадії розробки.

Як ми писали раніше, нещодавно аналітики з видання Cybernews знайшли 30 наборів даних з різною конфіденційною інформацією, які разом містять 16 мільярдів даних для входу в облікові записи різних платформ. Вони містять дані соціальних мереж на кшталт Facebook, облікових записів Google та Apple, VPN-сервісів, GitHub, Telegram та багатьох інших. Ці дані, найімовірніше, походять від різних викрадачів інформації.

