不需要顶级AI，不需要巨额资金，只要一个可以免费下载的开源模型，加上足够的技术知识，就能构建一种能够自主在网络中蔓延、自我学习、几乎零成本扩张的新型蠕虫病毒。

这不是电影情节。这是多伦多大学研究团队在今年6月2日发布的真实研究成果。

这条虫，和你见过的都不一样

传统蠕虫病毒遵循固定脚本，碰到没有预先写入的防御机制就会卡死。网络安全从业者对此了然于胸，并围绕这一特点构建了大量防护体系。

AI蠕虫的出现，把这套逻辑从根基上推翻了。

多伦多大学CleverHans实验室的研究团队在一个完全隔离的安全数字环境中，构建了一个概念验证原型。他们模拟了这种蠕虫在数十台互联设备之间传播的过程，涵盖笔记本电脑、打印机、摄像头等日常设备。结果显示，这条AI蠕虫能够在每次入侵时分析目标设备的具体情况，定制攻击策略，然后在克隆自身到下一台机器之前完全控制当前目标。

更令人不安的是它的资源获取方式。这条蠕虫会窃取感染设备的计算能力，用来驱动自身的推理和下一轮攻击。也就是说，它越传播，可用资源越多，而攻击成本趋近于零。

研究团队负责人、多伦多大学副教授尼古拉斯·帕珀诺特说得很直接："黑客通常因为时间和计算资源有限，不得不优先选择高价值目标。但现在，一旦蠕虫被发动，成本几乎会降至零。"

这意味着攻击者不再需要做选择，他可以同时覆盖所有目标。

开源模型，双刃剑的另一面

一种由人工智能驱动的蠕虫通过寄生性地获取计算资源，在异构网络中传播，从而实现自主推理。

这项研究有一个细节特别值得关注：驱动这条蠕虫的，不是什么顶级闭源大模型，而是任何人都可以免费下载、自由修改的开源AI模型。

过去，当业界担忧AI被滥用时，讨论的焦点往往集中在功能最强大的那些商业模型上，担心它们被用于发现隐藏的安全漏洞或生成高级攻击代码。对于能力相对有限的小型开源模型，普遍存在一种低估：这些东西不足以造成实际伤害。

帕珀诺特的团队专门去检验了这个假设，结论是：它错了。

开源模型缺乏商业模型的安全防护机制，其限制层可以被技术熟练的人轻易移除，并按需改造。在蠕虫病毒的应用场景中，它不需要具备写诗或分析法律文件的能力，只需要能够分析网络环境、识别漏洞、生成有效的攻击代码，这些对于当前的开源模型而言，已经不是不可能完成的任务。

与此前研究过的、依附于AI应用程序传播的蠕虫不同，这种原型病毒能够在AI系统之外独立运行，直接攻击底层软件，因此潜在的受害设备范围大幅扩展。

帕珀诺特的表述没有任何修饰感："所有连接到互联网的设备，无论是笔记本电脑、摄像头还是智能恒温器，都可能成为攻击目标，即便不是因为其存储的数据，也可能成为攻击更有价值目标的跳板。"

金融系统、医院网络、供水和电网的工控系统，全部在理论攻击范围之内。

防御窗口正在关闭

帕珀诺特在发表这项研究前，特意删除了所有可能帮助攻击者复现的具体技术细节，并提前与国家安全和国防机构进行了沟通。他明确表示，类似的研究在黑色产业链中很可能已经悄然进行，他希望通过先行公开，给研究人员、政策制定者和普通用户争取准备时间。

当前的防御体系面临两层压力。其一，软件漏洞的修补本身就存在时间差，而AI蠕虫获取新发现漏洞信息的速度，在网络连通的条件下可以超过补丁推送的速度。其二，还有大量无法通过软件更新解决的问题，例如弱密码、错误配置，这些是人为因素，无法靠打补丁来根除。

研究团队目前已在着手研发应对措施。帕珀诺特给出的个人防护建议很具体：及时给设备安装更新、使用强密码、启用多因素身份验证。他的原话是，"你关上的每一扇门都少了一条入口，所以花几分钟重启更新是值得的。"

这听起来像老生常谈，但在AI蠕虫的威胁面前，它的含义已经不同于以往。每一台安全配置不足的设备，都可能在不知情的状态下，成为攻击其他目标的计算资源和信息来源。个人的安全习惯，在这种威胁模式下具有了系统性意义。