Check Point 研究人员发现一种高级恶意软件，他们表示该恶意软件主要由一个人使用人工智能创建，这是快速发展的技术将如何改变网络威胁的产生方式的一个早期例子。

该恶意软件名为“VoidLink”，在早期开发阶段就被检测到，从未用于实际攻击，但其设计和构建速度异常之快，结构复杂且模块化，便于快速演变，最初看起来像是出自一个规模更大、资金更雄厚的恶意行为者团队之手。

研究人员在本周的一份报告中写道：“冲刺时间表与我们的观察结果不符。我们亲眼目睹了恶意软件的功能扩展速度远远超过文档所暗示的速度。”

对恶意软件检测到的痕迹进行深入分析后发现，人工智能模型被用于创建和协调 VoidLink 的开发计划，并且该模型可能被用于构建、运行和测试该框架。

他们写道：“由于人工智能生成的文档通常非常详尽，因此许多此类文档都带有时间戳，而且信息异常丰富。这些文档表明，在不到一周的时间里，很可能是一个人就将 VoidLink 从概念发展成为一个可运行且不断发展的现实。”

研究人员在随附的博客文章中写道，VoidLink 的意义远不止于检测一种新的恶意软件。

他们写道：“这标志着威胁形势正在发生更广泛的转变。人工智能生成恶意软件的时代不再是推测，而是已经到来，并且正在快速发展。”

过去三年多来，威胁组织迅速采用并利用生成式人工智能（如今更进一步，发展出人工智能代理）进行攻击。他们使用这些技术的方式与企业类似，用于自动化简单的任务，或者——就他们而言——修改现有的恶意软件。

Check Point 的研究人员指出，迄今为止，大多数人工智能编写的恶意软件质量低下，要么出自技术水平较低的恶意行为者之手，要么与开源工具极为相似。

VoidLink 代表着一次重大飞跃。该恶意软件基于成熟、功能强大且高效的架构以及灵活动态的运行模型构建而成。它还集成了 eBPF 和 LKM rootkit 等技术，以及用于云枚举和容器环境下后渗透的模块。

人工智能在恶意软件中的应用日趋成熟

研究人员写道：“其复杂程度表明，当人工智能落入有能力的开发者手中时，它能够显著提升制造严重攻击能力的速度和规模。虽然VoidLink并非完全由人工智能策划的攻击，但它表明人们期待已久的由人工智能生成的复杂恶意软件时代可能已经到来。在经验丰富的攻击者或恶意软件开发者手中，人工智能可以构建出复杂、隐蔽且稳定的恶意软件框架，其效果堪比由老练的威胁组织所创建的恶意软件。”

2025年11月，人工智能公司Anthropic的研究人员报告了类似的情况。他们写道，一个威胁组织利用该公司的Claude Code智能体人工智能开发工具开展了一场间谍活动，其中人工智能自动化了80%到90%的工作，只有少数决策点需要人工干预。

人类学研究所的研究人员也发出了类似的警告，他们写道：“实施复杂网络攻击的门槛已经大幅降低——我们预测这种情况还会继续下去。”

VoidLink概览

VoidLink 的开发始于 2025 年 11 月下旬，当时开发者选择了 TRAE SOLO，这是 TRAE（一个基于 AI 的集成开发环境 (IDE)）中的一个 AI 助手，它会自动生成辅助文件，这些文件似乎已与源代码一起复制到了攻击者的服务器上。

恶意软件开发者似乎预计VoidLink的开发需要30周的工程周期，但一份测试样本的时间戳显示为12月4日——项目启动一周后——而且到那时，该恶意软件的代码量已超过88,000行。

当Check Point的研究人员发现并开始分析该恶意软件时，其编译版本已经提交给了VirusTotal。

他们写道，黑客采用了规范驱动开发 (SDD) 方法，生成了一个结构化的多团队开发计划，包括冲刺计划、规范和交付物，然后将其重新制作成执行蓝图，该模型可能遵循该蓝图来实现、迭代和测试恶意软件。

对恶意软件开发的特殊可见性

研究人员还发现了开发者犯下的错误，这些错误暴露了开发过程中的痕迹，他们利用这些痕迹来确定 VoidLink 主要是由人工智能生成的。

“我们对 VoidLink 的调查留下了许多悬而未决的问题，其中一个问题令人深感不安。”他们写道。“我们之所以能够揭露其真实的开发历程，是因为我们难得有机会窥探开发者的环境，这种机会几乎从未有过。这就引出了一个问题：还有多少其他复杂的恶意软件框架也是利用人工智能构建的，但却没有留下任何痕迹？”

CheckPoints官方博客：

《VoidLink标志着人工智能生成恶意软件新时代的开始》

https://blog.checkpoint.com/research/voidlink-signals-the-start-of-a-new-era-in-ai-generated-malware/

《VoidLink：高级人工智能恶意软件时代已经来临的证据》

https://research.checkpoint.com/2026/voidlink-early-ai-generated-malware-framework/