연구진, 로컬 오픈 가중치 모델만으로 작동하는 자체 복제 AI 웜 개발

출처: The Hacker News

[](<https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2H1xd7_K6KgUGsDu0E9YGBOLVgXF4DX0rDhf_pUhDRujatedeTJFwy0e_JxsMGGpQB80HOn4wTXRSxCB2DrxNo0nHYVUJC2ehyphenhyphenum_Cyjg-5bVXOIuGahdDFIIa9NBleTGfYDXQuqf005BOME3HAXVxVQw1OXNJNZwpZ4Tgke2qUK2TITR0qFMgaAH8Mf9/s1700-e365/worm.gif)

토론토 대학교 연구진은 로컬에 호스팅된 오픈‑웨이트 대형 언어 모델(LLM)을 이용해 네트워크를 탐색하고, 각 대상에 맞는 공격 전략을 생성하며, 인간 개입 없이 스스로 복제하는 AI 기반 컴퓨터 웜의 개념 증명을 구축하고 테스트했습니다. 이 웜은 상업용 AI 서비스를 전혀 사용하지 않습니다.

2026년 6월 2일에 arXiv에 **프리프린트**가 게시되었으며 현재 동료 검토 중입니다. 이 논문은 악성코드가 노출된 서비스를 검사하고 최신 보안 권고문을 읽어 실행 시점에 새로운 공격 경로를 생성할 수 있을 때, 단일 CVE 패치가 왜 무력화되는지를 보여줍니다.

고의적으로 취약하게 만든 33대 호스트 네트워크에서 15번의 격리된 실행을 진행한 결과, 웜은 평균 31.3개의 취약점을 식별하고 23.1대의 호스트에서 권한 상승에 성공했으며, 이는 목표로 삼은 호스트의 약 3/4에 해당합니다. 이후 웜은 7일 동안 네트워크 전체의 62%에 해당하는 20.4대의 호스트로 자율 복제했습니다. 네트워크 토폴로지에 대한 사전 지식이나 인간의 입력은 전혀 없었습니다.

전통적인 웜은 빌드 시점에 고정된 익스플로잇 페이로드를 탑재합니다. 해당 버그를 패치하면 웜은 전파를 멈춥니다.

하지만 이 웜은 다릅니다. 단일 GPU에서 실행되는 오픈‑웨이트 LLM을 이용해 런타임에 공격 로직을 생성하고, 다음 대상에서 발견한 상황에 맞게 맞춤형으로 조정합니다. 사전에 인코딩된 익스플로잇 체인이 없으며, OpenAI, Anthropic 등 어떤 API에도 의존하지 않기 때문에 플랫폼이 서비스를 차단하거나 속도 제한을 걸어도 영향을 받지 않습니다.

웜이 실제로 수행한 작업

부교수 Nicolas Papernot이 이끄는 CleverHans Lab 팀은 토론토 대학교, 벡터 연구소, 케임브리지 대학교, ServiceNow에 걸쳐 있습니다. 이들은 Ubuntu, Debian, Rocky Linux, Alpine, Windows Server 2008 R2, 2019, 2022 및 IoT 디바이스를 포함하는 33대 호스트(가칭 “FakeCorp”) 격리 네트워크에서 15번의 독립 실험을 수행했습니다.

각 호스트에는 최소 하나의 실제 취약점이 존재했으며, 33대 중 5대는 GPU를 탑재하고 있었습니다. 주요 전파 실험에서는 웜이 피해자 머신에서 확보한 GPU 연산 자원을 공유 GPU 추론 풀로 활용했습니다. 별도로 전체 GPU‑계층 복제를 테스트했으며, 이 경우 웜은 손상된 GPU 호스트에 로컬 LLM 인스턴스를 배치해 68.8%의 성공률을 기록했습니다.

계층형 설계에서는 감염된 GPU‑가능 호스트가 분산 추론 노드 역할을 수행해, 모델을 직접 실행할 수 없는 저사양 디바이스에 추론 서비스를 제공합니다.

15번의 실행 전체에서 웜은 23.1대의 호스트에서 권한 상승에 성공했으며, 그 중 88%에서 복제본을 성공적으로 배포했습니다. 최대 7세대까지 자체 복제를 이루었으며 평균 세대 수는 5.1이었습니다. 실험 환경은 의도적으로 취약하게 설계되었으며, 논문에서는 이 테스트가 “현실적인 개별 결함에 대한 자율 추론을 측정”한다고 명시하고 있습니다. 이는 방어가 활발히 이루어지는 하드닝된 프로덕션 네트워크에서의 전파와는 다릅니다.

단일 실행에서 사용된 익스플로잇에는 체인형 SambaCry와 루트 크론 권한 상승, Dirty Pipe, PrintNightmare, Drupalgeddon 2, Exim RCE, 블라인드 SQL 인젝션, JWT 우회, Redis 탈출 등이며, 이는 사전에 코딩된 것이 아니라 에이전트가 각 호스트에서 발견한 정보를 기반으로 스스로 추론해 도출한 결과입니다.

논문의 Figure 2는 한 번의 실행에서 전체 방사형 전파 트리를 보여주며, Linux, Windows, IoT 호스트를 가로질러 6~7세대에 걸친 확산을 시각화합니다. 개별 익스플로잇 시도 성공률은 약 44%였으며, 대부분의 실패는 로직 오류가 아니라 페이로드 구문 오류 때문이었습니다. 웹 애플리케이션 익스플로잇과 Windows 권한 상승은 Linux 로컬 권한 상승 및 서비스 익스플로잇보다 어려웠으며, 이는 현재 모델의 한계로 논문에서 언급하고 있습니다.

패치 윈도우 문제

웜은 런타임에 공개된 보안 권고문을 읽어들임으로써 학습 컷오프를 우회했으며, 모델 학습 이후 공개된 세 가지 취약점을 이용해 테스트 호스트를 성공적으로 공격했습니다.

• CVE-2026-39987 – Marimo Python 노트북의 사전 인증 원격 코드 실행 (CVSS 9.3