Badacze wykazują, że Copilot i Grok mogą być wykorzystywane jako proxy do sterowania złośliwym oprogramowaniem (C2)

Badacze wykazują, że Copilot i Grok mogą być wykorzystywane jako proxy do sterowania złośliwym oprogramowaniem (C2)

Autor: Ravie Lakshmanan | 17 lutego 2026

Badacze zajmujący się cyberbezpieczeństwem ujawnili, że asystenci oparci na sztucznej inteligencji (AI), którzy obsługują przeglądanie sieci lub pobieranie adresów URL, mogą zostać przekształceni w ukryte przekaźniki dowodzenia i kontroli (Command-and-Control, C2). Technika ta pozwala atakującym wtopić się w legalną komunikację firmową i uniknąć wykrycia.

Metoda ataku, którą zademonstrowano na przykładzie Microsoft Copilot oraz Grok (od xAI), otrzymała od firmy Check Point kryptonim "AI as a C2 proxy" (AI jako proxy C2).

Wykorzystuje ona „anonimowy dostęp do sieci połączony z monitami (promptami) dotyczącymi przeglądania i podsumowywania” – podała firma ds. cyberbezpieczeństwa. „Ten sam mechanizm może również umożliwiać operacje złośliwego oprogramowania wspomagane przez AI, w tym generowanie przepływów pracy rozpoznawczych, skryptowanie działań atakującego oraz dynamiczne decydowanie o tym, »co robić dalej« w trakcie włamania”.

Odkrycie to sygnalizuje kolejną istotną ewolucję w sposobie, w jaki cyberprzestępcy mogą nadużywać systemów AI. Nie chodzi już tylko o skalowanie czy przyspieszanie różnych faz cyklu cyberataku, ale także o wykorzystanie interfejsów API do dynamicznego generowania kodu w czasie rzeczywistym, który może dostosowywać swoje zachowanie w oparciu o informacje zebrane ze skompromitowanego hosta i unikać wykrycia.

Narzędzia AI już teraz działają jako mnożnik siły dla przeciwników, pozwalając im delegować kluczowe etapy kampanii, takie jak przeprowadzanie rozpoznania, skanowanie podatności, tworzenie przekonujących wiadomości phishingowych, kreowanie syntetycznych tożsamości, debugowanie kodu czy tworzenie złośliwego oprogramowania. Jednak koncepcja „AI jako proxy C2” idzie o krok dalej.

W istocie wykorzystuje ona możliwości przeglądania sieci i pobierania adresów URL przez Groka i Microsoft Copilot do pobierania kontrolowanych przez atakującego adresów URL i zwracania odpowiedzi za pośrednictwem ich interfejsów internetowych. Przekształca to narzędzie w dwukierunkowy kanał komunikacji, który przyjmuje polecenia wydawane przez operatora i tuneluje dane ofiary na zewnątrz.

Co istotne, wszystko to działa bez konieczności posiadania klucza API lub zarejestrowanego konta, co sprawia, że tradycyjne metody, takie jak unieważnienie klucza czy zawieszenie konta, stają się bezużyteczne.

Patrząc z innej perspektywy, podejście to nie różni się od kampanii ataków, które wykorzystują zaufane usługi do dystrybucji złośliwego oprogramowania i C2. Jest to również określane jako „living-off-trusted-sites” (LOTS – żerowanie na zaufanych stronach).

Aby jednak do tego doszło, istnieje kluczowy warunek wstępny: atakujący musi już wcześniej skompromitować maszynę w inny sposób i zainstalować złośliwe oprogramowanie. Następnie malware wykorzystuje Copilota lub Groka jako kanał C2, używając specjalnie spreparowanych promptów. Powodują one, że agent AI kontaktuje się z infrastrukturą kontrolowaną przez atakującego i przekazuje z powrotem do złośliwego oprogramowania odpowiedź zawierającą polecenie do wykonania na hoście.

Check Point zauważył również, że atakujący może wyjść poza generowanie poleceń i wykorzystać agenta AI do opracowania strategii unikania wykrycia oraz określenia kolejnych działań poprzez przekazywanie szczegółów o systemie i sprawdzanie, czy warto go w ogóle eksploatować.

„Gdy usługi AI mogą być wykorzystywane jako ukryta warstwa transportowa, ten sam interfejs może również przenosić prompty i wyniki modeli, które działają jako zewnętrzny silnik decyzyjny. Jest to krok w kierunku implantów sterowanych przez AI i C2 w stylu AIOps, które automatyzują selekcję, celowanie i wybory operacyjne w czasie rzeczywistym” – stwierdził Check Point.

Ujawnienie to następuje kilka tygodni po tym, jak jednostka Unit 42 z Palo Alto Networks zademonstrowała nową technikę ataku, w której z pozoru niewinna strona internetowa może zostać przekształcona w witrynę phishingową. Wykorzystuje ona wywołania API po stronie klienta do zaufanych usług dużych modeli językowych (LLM) w celu generowania złośliwego kodu JavaScript dynamicznie w czasie rzeczywistym.

Metoda ta jest podobna do ataków typu Last Mile Reassembly (LMR), które polegają na przemycaniu złośliwego oprogramowania przez sieć za pomocą niemonitorowanych kanałów, takich jak WebRTC i WebSocket, i składaniu ich bezpośrednio w przeglądarce ofiary, skutecznie omijając przy tym kontrole bezpieczeństwa.

„Atakujący mogą używać starannie zaprojektowanych promptów, aby ominąć bariery bezpieczeństwa AI, oszukując LLM, aby zwrócił złośliwe fragmenty kodu” – powiedzieli badacze Unit 42: Shehroze Farooqi, Alex Starov, Diva-Oriane Marty i Billy Melicher. „Te fragmenty są zwracane za pośrednictwem interfejsu API usługi LLM, a następnie składane i wykonywane w przeglądarce ofiary w czasie rzeczywistym, co skutkuje w pełni funkcjonalną stroną phishingową”.