Дослідники з Check Point Research виявили VoidLink — новий модульний Linux-malware-фреймворк, який відрізняється високим рівнем зрілості, гнучкою архітектурою та масштабованістю. Попри початкові припущення про участь потужного угруповання, з’ясувалося, що проєкт створив один розробник за активної допомоги AI-агентів. Це один із перших відомих прикладів справді складного шкідливого ПЗ, значна частина якого була згенерована штучним інтелектом.
VoidLink побудований як платформа з тонким базовим ядром і десятками модулів, які можуть підвантажуватися за потреби. Фреймворк орієнтований на атаки проти хмарної інфраструктури та Linux-середовищ і демонструє продуману архітектуру, яка дозволяє швидко розширювати функціональність.
Ключова особливість VoidLink — підхід до розробки. Замість класичного програмування автор застосував методологію Spec Driven Development (SDD), коли спочатку створюються детальні специфікації, плани та документація, а вже потім реалізується код. AI-агенти були залучені не лише до написання коду, а й до планування спринтів, структурування команд і контролю відповідності реалізації заданим вимогам.
За даними дослідників, початковий план передбачав роботу трьох «віртуальних команд»: ядро, модулі та бекенд. У документації описувався 20-тижневий цикл розробки, однак на практиці все відбувалося значно швидше. Менш ніж за тиждень фреймворк виріс до понад 88 тисяч рядків коду, а перша зібрана версія вже була завантажена на VirusTotal.
Перші витоки внутрішніх матеріалів VoidLink датуються 27 листопада 2025 року. Уже 4 грудня було зафіксовано працездатний зразок шкідливого ПЗ. Дослідники отримали унікальну можливість зазирнути всередину процесу розробки через операційні помилки автора, пов’язані з OPSEC.
У звіті Check Point зазначається, що код демонструє вражаючий рівень відповідності початковим інструкціям. Структура, стиль і патерни реалізації настільки узгоджені, що практично не залишають сумнівів у системному використанні AI. Для розробки застосовувалися AI-орієнтоване IDE TRAE та вбудований асистент SOLO, які координували весь цикл — від планування до тестування.
VoidLink показує, що епоха складного AI-згенерованого malware вже настала. Один мотивований розробник, використовуючи штучний інтелект, здатен створити фреймворк, який за рівнем нагадує інструменти добре фінансованих APT-груп. Хоча наразі немає підтверджень реальних атак із використанням VoidLink, сам факт його існування суттєво змінює уявлення про поріг входу у створення високорівневих кіберзагроз.
