angripare utnyttjar felkonfigurerade öppna webui-instanser med AI-genererad skadlig programvara för att kompromissa med system. Open WebUI används av populära AI Chatbot-plattformar som Ollama och LM Studio för att tillhandahålla ett självhostat, webbläsarbaserat gränssnitt för att interagera med stora språkmodeller.
Den sofistikerade kampanjen markerar en upptrappning. AI-verktyg skapar nu inte bara skadliga nyttolaster utan är också exploateringsmål. Attackerna påverkar Linux och Windows, som syftar till att installera kryptominers och infostealer via avancerad undvikelse.
Denna incident belyser en kritisk ny sårbarhet eftersom AI-gränssnitt utformade för produktivitet också kan bli betydande attackytor om inte ordentligt säkrade. Sysdigs utredning fann att angripare fick initial tillgång till ett öppet WebUI-system, som exponerades online med administrativa rättigheter och ingen autentisering genom att ladda upp ett kraftigt obuscated python-skript.
Forskarna noterade Stylistiska kännetecken för AI-generation. En chatgpt-koddetektoranalys, citerad av Sysdig, drog slutsatsen att skriptet var”mycket troligt (~ 85–90%) är ai-genererad eller starkt AI-assisterad. Den noggranna uppmärksamheten på kantfall, balanserad tvärplattform, strukturerad docstring och enhetlig formateringspunkt starkt i den riktningen.”Den AI-assisterade skadliga programvaran, kallad”Pykluk”av forskarteamet, fungerade som den primära vektorn för den efterföljande attacken.
AI: s dubbla roll-ett verktyg för skapande av skadlig programvara och ett exploateringsmål-presenterar en ny cybersecurity-utmaning och höjdpunkter det brådskande behovet av strängsäkerhet runt AI-tillämpningar. Detta är särskilt sant eftersom självhostade AI-verktyg växer i popularitet.
anatomi av ett AI-driven intrång
Det AI-genererade Python-skriptet, en gång utförd via Open Webui-verktyg, initierade en flerstegs kompromiss. SYSDIG rapporterade en Discord Webhook underlättade kommando och kontroll (C2) kommunikation. Denna teknik är en växande trend eftersom den lätt smälter in i legitim nätverkstrafik.
För att undvika upptäckt, angripare utnyttjade”ProcessHider”, ett verktyg som gör skadliga processer som kryptominers försvinner från standardsystemlistor genom att avlyssna och modifiera utgången av process-rimliga systemsamtal. Dessutom använde de’argvhider’för att dölja avgörande kommandoradsparametrar, såsom gruvpooler och plånbokadresser; Detta verktyg uppnår otydlighet genom att ändra processens argumentvektor i minnet så att inspektionsverktyg inte kan läsa de ursprungliga känsliga data
Windows Attack Path involverade att installera Java Development Kit (JDK). Detta var för att köra en skadlig JAR-fil (Java Archive), Application-Ref.Jar, nedladdad från en C2-server. Denna första burk fungerade som en lastare för ytterligare skadliga komponenter. Dessa inkluderade int_d.dat, en 64-bitars Windows DLL (Dynamic Link Library) med XOR-DEKODING (en metod för kryptering) och sandlådesökning.
En annan komponent var int_j.dat. Den senare burken innehöll en annan DLL, APP_BOUND_DECRYPTOR.DLL, tillsammans med olika infostealers. Dessa riktade referenser från Chrome-webbläsarförlängningar och oenighet. APP_BOUND_DECRYPTOR.DLL SELT SUSTED XOR-kodning, som används med namnet Pipes (en mekanism för kommunikation mellan processer) och införlivade sandlåddetekteringsfunktioner.
Över 17 000 öppna webui-instanser utsätts enligt uppgift online, enligt Shodan-data som citeras av SysDig som skapar en väsentlig potential.
AI: s expanderande roll i cyberkonflikt
Denna öppna WebUI-exploatering är ett nyligen exempel inom ett bredare mönster eftersom AI alltmer integreras i cyberkriminella operationer. Redan i oktober 2024 rapporterade Microsoft en kraftig kraft i AI-drivna cyberattacker som överstiger 600 miljoner dagliga incidenter, vilket framhäver att angriparna”ser en ökning av hur cyberbrottslingar kan automatisera sina metoder genom generativa AI.”Deras digitala försvarsrapport 2024 uppgav också att “Volymen av attacker är bara för stor för att någon grupp ska kunna hantera på egen hand”
Ett ökande antal AI-drivna skadliga kampanjer använder falska applikationer och captchas för att rikta in användare. De använder ofta Dark Web AI-verktyg som Wormgpt och FraudGPT för att skapa sofistikerade phishing-e-postmeddelanden och skadlig programvara.
I januari 2025 hade phishing attackframgångar enligt uppgift tredubblats år över år. Detta tillskrivs till stor del AI: s förmåga att skapa mer övertygande och lokala lockar, enligt Netskopes moln-och hotrapport. LLM: er kan ge bättre lokalisering och mer variation för att försöka undvika skräppostfilter och öka sannolikheten för att lura offren.
AI Cybersecurity Arms Race
Medan angripare utnyttjar AI, utvecklar cybersecurity-industrin samtidigt AI-POWERED-försvar. Google lanserade till exempel Sec-Gemini V1 i april. Denna AI-modell hjälper säkerhetspersonal med realtidshotdetektering och analys. Detta initiativ följde tidigare framgångar, till exempel Googles Big Sleep AI-agent som förra året identifierade en betydande sårbarhet i SQLite-databasmotorn. Google hade meddelat upptäckten och saneringen av den bristen innan den påverkade användare.
Andra stora leverantörer stärker också deras AI-kapacitet. Fortinet, i november förra året, utökade sina AI-säkerhetsverktyg med nya integrationer för förbättrad hotdetektering. I april 2025 stärde Google ytterligare sin AI-säkerhetsstrategi genom att avslöja sin enhetliga säkerhetsplattform, som integrerar Gemini AI för att konsolidera hotdetektering och svar med hjälp av strukturerad resonemang. Detta står i kontrast till tillvägagångssätt som Microsofts säkerhet Copilot, som fokuserar mer på modulär automatisering.
