Cybersecurityonderzoekers waarschuwen dat AI-assistenten met webtoegang een nieuwe rol kunnen spelen in malwarecampagnes. In plaats van rechtstreeks contact te leggen met een command-and-controlserver kunnen aanvallers AI-platforms inzetten als tussenstation voor communicatie, waardoor kwaadaardig verkeer minder snel opvalt.

Onderzoek van het beveiligingsbedrijf Check Point laat zien dat AI-assistenten zoals Grok en Microsoft Copilot misbruikt kunnen worden om opdrachten en data te vervoeren tussen een geïnfecteerd systeem en de infrastructuur van een aanvaller. De kern van het probleem is dat deze AI-diensten webpagina’s kunnen ophalen en samenvatten, een functie die normaal legitiem is maar ook kan worden omgebogen voor misbruik.

In het door de onderzoekers ontwikkelde proof of concept communiceert malware niet rechtstreeks met een externe server, maar met een AI-assistent via een webinterface. De malware geeft de AI opdracht om een specifieke URL op te halen die onder controle staat van de aanvaller. De inhoud van die pagina bevat verborgen instructies, die door de AI worden verwerkt en teruggegeven in een antwoord. De malware leest dit antwoord uit en haalt daar de daadwerkelijke commando’s of configuraties uit.

Voor deze aanpak maken de onderzoekers gebruik van WebView2, een component in Windows 11 die het mogelijk maakt om webinhoud te tonen binnen een applicatie zonder een volledige browser. Zelfs als WebView2 niet aanwezig is op het doelsysteem, kan deze volgens Check Point worden meegeleverd als onderdeel van de malware. De onderzoekers bouwden een C++-toepassing die een WebView opent richting Grok of Copilot en zo interactie met de AI mogelijk maakt.

Verkeer via AI blijft onder de radar

Het resultaat is een tweerichtingskanaal via een AI-dienst die door veel beveiligingsoplossingen als betrouwbaar wordt gezien. Daardoor kan dataverkeer langs bestaande filters glippen, meldt BleepingComputer. Een bijkomend voordeel voor aanvallers is dat deze methode geen account of API-sleutel vereist, wat het lastiger maakt om misbruik te stoppen door toegangen in te trekken of accounts te blokkeren.

Volgens Check Point is dat normaal gesproken juist de zwakke plek bij het misbruiken van legitieme platforms voor command-and-control. Accounts kunnen worden afgesloten en sleutels ingetrokken, waardoor de infrastructuur snel onbruikbaar wordt. Bij directe interactie met een AI-agent via een webpagina vervalt die mogelijkheid grotendeels, zeker wanneer anoniem gebruik is toegestaan.

Hoewel AI-platforms beveiligingsmechanismen hebben om duidelijk kwaadaardige interacties te blokkeren, stellen de onderzoekers dat deze relatief eenvoudig te omzeilen zijn. Door data te versleutelen en te verpakken als hoog-entropische inhoud kan de kwaadaardige lading onder de radar blijven.

Check Point benadrukt dat dit slechts één voorbeeld is van hoe AI-diensten kunnen worden misbruikt. In bredere zin zien de onderzoekers mogelijkheden waarbij AI niet alleen als doorgeefluik fungeert, maar ook wordt ingezet om beslissingen te ondersteunen, zoals het inschatten van de waarde van een doelwit of het bepalen van vervolgstappen zonder alarmsignalen te veroorzaken.

Microsoft is door de onderzoekers op de hoogte gebracht van het proof of concept. Een woordvoerder liet weten dat het bedrijf de melding waardeert en benadrukte dat aanvallers op gecompromitteerde systemen altijd zullen proberen gebruik te maken van beschikbare diensten, waaronder AI-gebaseerde diensten. Volgens Microsoft ligt de nadruk daarom op gelaagde beveiliging, met maatregelen die zowel infecties moeten voorkomen als de impact na een inbraak beperken.