安全研究人员Ryingo近日发布针对新型恶意软件”AI Waifu RAT“的详细分析，该后门程序通过伪装成创新技术渗透大型语言模型（LLM）角色扮演社区。这份被称作”利用社区对’元交互’和新颖AI能力兴趣的社会工程学大师课”的报告，揭示了威胁分子如何利用用户好奇心和信任分发恶意软件。

该远程访问木马（RAT）最初出现在LLM角色扮演论坛，作者将其营销为允许AI角色”打破第四面墙”的研究项目。报告指出：”作者推介的工具让用户的AI角色’Win11虚拟伴侣’能够’与现实世界电脑交互’——被包装成令人兴奋的沉浸式功能。”宣传的”功能”包括读取本地文件以”了解用户”和支持任意代码执行（ACE）。分析明确表示：”这是经典的社会工程攻击……恶意文件被伪装成令人期待的软件增强功能。”

静态和动态分析显示，这个所谓的”代理”二进制文件实则是直接的远程访问木马。其架构包含在受害者机器上运行的本地代理，监听固定端口并通过明文HTTP请求接受命令。暴露的三个关键端点包括：

/execute_trusted：未经用户同意直接在PowerShell执行命令，”使所有安全防护失效”；

/execute：包含面向用户的同意检查，但因信任端点存在而可被绕过；

/readfile：从磁盘读取任意文件并外泄至C&C服务器。

报告警告：”该框架是可扩展的高风险RAT。攻击者可随时通过LLM C&C推送静默更新或下达命令，部署更高级的恶意软件如勒索软件、信息窃取器或键盘记录器。”Ryingo强调了该设计实现的多种攻击场景：

作者直接滥用：对受感染系统的完全远程控制；

第三方劫持：明文C&C允许中间人（MITM）攻击；

路过式攻击：恶意网站可向固定本地端口发送特制请求；

供应链污染：通过提供恶意API作为免费”服务”，诱使用户授予后门访问权限。

虽然技术层面不算复杂，但该木马的真实有效性在于心理操纵。作者将杀毒软件/端点检测（AV/EDR）的检测结果称为误报，并明确告诉用户禁用防护：”如果您的防病毒软件报警，请将其加入白名单或暂时关闭。”Ryingo解释称，该策略之所以有效，是因为利用了：小众社区内部的信任、用户对”高级功能”的渴望、以及将安全警告视为误报的文化。

研究人员还检查了作者早期项目，包括所谓的”CTF挑战”二进制文件。这远非教育性谜题，而是包含持久化机制、反调试技巧和破坏性行为（如在多次错误输入后强制关闭用户电脑）。Ryingo结论明确：”这不是’挑战’，而是纯粹的破坏行为。”作者反复使用eval()和系统调用等不安全模式，强化了其项目更像是伪装恶意软件而非研究的观点。