惡意大模型持續升級：WormGPT 4與KawaiiGPT可生成勒索軟件代碼與釣魚腳本

WormGPT 4、KawaiiGPT等無限制大型語言模型的惡意代碼生成能力正不斷強化，已能輸出可直接運行的勒索軟件加密程序及橫向移動腳本，成為網絡犯罪分子的得力工具。

Unit42研究團隊對這兩款模型開展了專項測試。目前，這兩款模型通過付費訂閱或免費本地部署的方式，在網絡犯罪圈的使用率正持續上升。

WormGPT 4：專攻網絡犯罪的付費無限制模型

WormGPT原型最早于2023年出現，但據報道該項目同年便停止運營。而WormGPT 4作為該品牌的“回歸之作”，于今年9月重新出現，采用訂閱制模式——月費50美元或終身使用權220美元。這款模型堪稱“無審查版ChatGPT”，專為網絡犯罪場景訓練，不受內容安全限制。

Unit42研究人員測試了其勒索軟件代碼生成能力，結果顯示該模型可產出能加密Windows主機上所有PDF文件的PowerShell腳本。該腳本支持自定義配置：可指定目標文件路徑與擴展名，采用AES-256算法進行數據加密，更內置了通過Tor網絡竊取數據的選項，完全貼合真實網絡攻擊的操作需求。

生成的數據加密腳本

此外，研究人員通過提示詞引導，讓WormGPT 4生成了一份“極具威懾力且話術老練的勒索信”——信中宣稱采用“軍用級加密技術”，要求受害者在72小時內支付贖金，否則贖金將翻倍。

生成的勒索信

研究人員指出，“WormGPT 4在商業電子郵件妥協（BEC）和釣魚攻擊中具備可信的語言操控能力”，這使得技術水平較低的攻擊者也能實施以往僅由資深威脅行為者才能完成的復雜攻擊。

KawaiiGPT：社區驅動的免費惡意工具

KawaiiGPT是今年7月被發現的另一款惡意大模型，作為免費的社區驅動項目，其核心能力包括生成高質量釣魚郵件，以及自動化橫向移動所需的即開即用腳本。Unit42研究人員測試了其2.5版本，發現該模型在Linux系統上的部署僅需5分鐘。

在KawaiiGPT上生成的釣魚郵件

多場景惡意腳本生成測試

研究人員通過提示詞指令，驗證了KawaiiGPT的四大核心能力：

1. 生成魚叉式釣魚郵件：支持逼真的域名偽造，內置憑證竊取鏈接；

2. 橫向移動Python腳本：利用paramiko SSH庫連接目標主機，通過exec_command()函數遠程執行命令；

3. 數據竊取與外發腳本：借助os.walk函數遞歸遍歷Windows文件系統查找目標文件，通過smtplib庫打包數據并發送至攻擊者控制的郵箱地址；

4. 定制化勒索信生成：可靈活配置付款說明、時限要求及常見的加密強度宣稱話術。

數據泄露功能

盡管KawaiiGPT未能像WormGPT 4那樣生成完整的加密程序或功能性勒索軟件載荷，但研究人員警示，其命令執行能力足以讓攻擊者實現權限提升、數據竊取，以及投放并運行額外惡意載荷的操作。

這兩款惡意大模型均擁有專屬Telegram頻道，各頻道訂閱成員已達數百人，社區成員在其中交流攻擊技巧與使用經驗。

Unit42研究團隊強調：“對這兩款模型的分析證實，攻擊者已在實際威脅場景中積極運用惡意大模型，這類工具已不再是理論層面的威脅。”

值得警惕的是，這些工具顯著降低了網絡攻擊的技術門檻：缺乏經驗的攻擊者借助它們，能夠規模化實施更高級別的攻擊，大幅縮短了目標偵察與工具開發的時間；同時，模型生成的釣魚誘餌語言流暢自然、專業性強，擺脫了傳統詐騙郵件中常見的語法錯誤，更易誘使受害者上當。

參考及來源：https://www.bleepingcomputer.com/news/security/malicious-llms-empower-inexperienced-hackers-with-advanced-tools/