ESET 发现由本地 LLM 驱动的 PromptLock 勒索软件原型

ESET 报告发现了发现了一个名为 PromptLock 的新勒索软件项目，该项目利用大型语言模型进行核心操作。该样本于 8 月 25 日在 VirusTotal 上被检测到，到目前为止，它似乎只是一个概念验证，而不是一个活跃的活动。

PromptLock 的核心是一种硬编码的提示注入攻击。Golang 加载器通过 Ollama API 与本地托管模型通信，并要求它按需生成 Lua 脚本。这些脚本会枚举文件、筛选敏感数据、渗出它们想要的内容，然后使用 SPECK 128 位加密技术在 Windows、macOS 和 Linux 上加密其余内容。

对于防御者来说，有两个设计选择很重要。首先，勒索软件在本地驱动模型（通过 Ollama 驱动 gpt-oss:20b），因此无需跟踪外部 API 流量。其次，由于 LLM 是非确定性的，每次执行生成的脚本都会不同。这种多变性会掩盖入侵迹象，使基于签名的检测更具挑战性。

ESET 的分析还指出，攻击者不需要将整个模型拖入受害者网络。只需通过简单的隧道或代理连接到外部 Ollama 主机即可。该样本甚至还包含了让该模型起草赎金条的说明，值得注意的是，它使用了一个与中本聪有关的广为人知的比特币地址作为占位符。数据销毁功能似乎尚未完成。

到目前为止，还没有迹象表明 PromptLock 以受害者为目标，ESET 将这一发现视为对安全社区的预警。关键的一点是，这种能力现在已经存在，随后可能会进行实际部署。

如果您在内部运行启用了 LLM 的服务，那么请假定这种玩法会变得很常见。清查并锁定任何 Ollama 或类似的端点，限制谁可以提示本地模型，并监控自动 Lua 执行和突然的加密活动。ESET 的研究人员提醒说，不断变化的模型生成脚本会使追捕工作复杂化，因此应将重点放在行为检测和遏制上，而不是静态签名上。