Investigadores de la Universidad de Toronto han construido y probado una prueba de concepto de gusano informático impulsado por IA que utiliza un modelo de lenguaje grande y abierto alojado localmente para razonar su camino a través de una red, generar estrategias de ataque personalizadas para cada objetivo que encuentre y replicarse, todo sin intervención humana y sin tocar un servicio comercial de IA.

La preimpresión, publicado en arXiv el 2 de junio y actualmente bajo revisión por pares, muestra por qué el parche CVE único falla cuando el malware puede inspeccionar servicios expuestos, leer nuevos avisos y generar una nueva ruta de ataque en tiempo de ejecución.

En 15 ejecuciones aisladas en una red de 33 hosts deliberadamente vulnerable, el gusano identificó un promedio de 31,3 vulnerabilidades y obtuvo acceso elevado en 23,1 hosts, aproximadamente tres cuartas partes de los hosts a los que atacaba activamente. Luego se replicó de forma autónoma en 20,4 de esos hosts, o el 62% de la red completa, durante siete días, sin conocimiento previo de la topología de la red ni intervención humana.

Los gusanos tradicionales se envían con una carga útil de exploit fija elegida en el momento de su creación. Parche esos errores específicos y el gusano dejará de propagarse.

Este gusano hace algo diferente: utiliza un LLM de peso abierto que se ejecuta en una sola GPU para generar una lógica de ataque en tiempo de ejecución, adaptada a lo que encuentre en el siguiente objetivo. Sin cadena de exploits precodificada. No hay dependencia de OpenAI, Anthropic o cualquier otra API que una plataforma pueda revocar o limitar.

Lo que realmente hizo el gusano

Dirigido por el profesor asociado Nicolas Papernot, el Laboratorio CleverHans El equipo abarca la Universidad de Toronto, el Vector Institute, la Universidad de Cambridge y ServiceNow. Realizaron 15 experimentos independientes en una red aislada de 33 hosts («FakeCorp») que abarca Ubuntu, Debian, Rocky Linux, Alpine, Windows Server 2008 R2, 2019 y 2022, y dispositivos IoT.

Cada host tenía al menos una vulnerabilidad del mundo real. Cinco de las 33 máquinas tenían GPU. En los principales experimentos de propagación, el gusano utilizó un grupo de inferencia de GPU compartido para simular la computación adquirida de las máquinas víctimas. El equipo probó por separado la replicación completa de nivel de GPU, en la que el gusano coloca una instancia LLM local en un host de GPU comprometido; que tuvo éxito en el 68,8% de los intentos.

En el diseño por niveles, los hosts infectados con capacidad de GPU sirven como nodos de razonamiento distribuidos que proporcionan inferencias para dispositivos de computación inferior en la red que no pueden ejecutar el modelo por sí mismos.

En las 15 ejecuciones, el gusano obtuvo acceso elevado en 23,1 hosts y lanzó con éxito una réplica en el 88% de ellos. Alcanzó hasta siete generaciones de autorreplicación, con una media de 5,1. La configuración era intencionalmente vulnerable: el documento dice que la prueba mide el razonamiento autónomo a través de fallas individuales realistas, no propagadas a través de una red de producción mayoritariamente reforzada bajo defensa activa de endpoint.

Los exploits en una sola ejecución incluyeron un SambaCry encadenado y una escalada de privilegios cron de root grabables, Dirty Pipe, PrintNightmare, Drupalgeddon 2, Exim RCE, inyección ciega de SQL, derivación de JWT, escape de Redis y más, no porque estuvieran preprogramados, sino porque el agente razonó hasta llegar a ellos a partir de lo que encontró en cada host.

La Figura 2 del artículo mapea el árbol de propagación radial completo en una ejecución, mostrando de seis a siete generaciones de distribución en hosts Linux, Windows e IoT. Los intentos de explotación individuales tuvieron éxito aproximadamente el 44% de las veces. La mayoría de las fallas se debieron a una sintaxis de carga útil mal formada, no a una lógica defectuosa. Los exploits de aplicaciones web y la escalada de privilegios de Windows fueron más difíciles que los exploits locales y de servicios de Linux, un límite de capacidad que el documento trata como una limitación del modelo actual, no como una defensa estructural.

El problema de la ventana de parcheo

El gusano superó su propio límite de entrenamiento al ingerir texto de aviso público en tiempo de ejecución, explotando con éxito hosts de prueba configurados con tres vulnerabilidades reveladas después de que se entrenó el modelo:

Contra esos tres huéspedes, el gusano logró arraigarse en 41 de 67 intentos.

CVE-2026-39987 se reveló el 8 de abril de 2026. Sysdig observó explotación en honeypots 9 horas y 41 minutos después de eso, y documentó por separado una intrusión en el mundo real en la que un atacante utilizó un agente LLM para actividad posterior a la explotación después de comprometer una instancia pública de Marimo. La misma brecha de parche de siempre, ahora con un agente leyendo el aviso y probándolo a escala.

El paralelo relevante con WannaCry es la brecha del parche, no el radio de explosión. EternalBlue había sido parcheado durante meses antes de que apareciera WannaCry. El documento plantea el mismo punto bajo una restricción diferente: un gusano adaptativo puede seguir probando nuevas rutas mientras los defensores todavía están validando las soluciones.

Coste marginal cero, sin interruptor de apagado central

Hay dos cosas que hacen que sea más difícil de contener que un gusano tradicional.

• En primer lugar, el costo pasa del acceso alquilado a la API a cualquier cálculo que el gusano pueda capturar. Una vez que existe una infraestructura de víctima con capacidad de GPU, el atacante ya no paga por intento.
• En segundo lugar, debido a que todo se ejecuta en modelos abiertos sin dependencia del proveedor, los controles del lado del proveedor pasan por alto el problema central. Rechazos de servicio, limitación de tarifas, suspensión de cuenta: nada de esto aplica. No hay ninguna clave API para revocar. La contención tiene que ocurrir en la capa de red y de host.

Los investigadores también observaron que el gusano reescribía su propio código en varias ocasiones para eludir los controles de seguridad locales en el entorno de prueba, comportamiento que nunca codificaron.

La versión actual se construyó deliberadamente sin características sigilosas: sin cifrado, sin código polimórfico, sin mecanismos de persistencia, sin cobertura de pistas. Una variante maliciosa con persistencia, cargas útiles cifradas, enmascaramiento de procesos y limpieza de registros les daría a los defensores menos señales fáciles que deja este prototipo.

donde encaja esto

Esta no es la primera investigación sobre gusanos impulsada por IA. Morris II (Cohen et al., 2025) mostró un aviso adversario autorreplicante que se propagaba entre los asistentes de correo electrónico de IA a través de generación con recuperación aumentada y propagación dentro de la capa de aplicación de IA, no a través de la infraestructura del host.

En marzo de 2026, gusano garra demostró ataques autorreplicantes en ecosistemas de agentes LLM, secuestrando configuraciones persistentes y propagándose a agentes pares. El gusano de Toronto es diferente: el LLM no es el objeto atacado. Es el motor de ataque que se utiliza para comprometer la infraestructura de red ordinaria.

Las operaciones en el mundo real ya están poniendo a prueba los mismos límites. Anthropic dijo en noviembre de 2025 que interrumpió una gran campaña de espionaje orquestada por IA atribuida con gran confianza a GTG-1002, un grupo patrocinado por el estado chino. Claude Code manejó entre el 80 y el 90 % de la operación, incluido el reconocimiento, el desarrollo de exploits, la recolección de credenciales, el movimiento lateral y la exfiltración, y los humanos intervinieron en algunos puntos de decisión.

Threat Intelligence Group de Google informó de un cambio relacionado en mayo de 2026: lo que evaluó con gran confianza era el primer exploit de día cero desarrollado con asistencia de IA, encontrado en el script de un grupo criminal antes de un evento de explotación masiva planeado, junto con familias de malware que generan sus propios comandos en tiempo de ejecución en lugar de depender de una lógica codificada. El trabajo de Toronto es la versión de laboratorio de esa dirección impulsada hacia la propagación de gusanos a nivel de huésped.

La dirección es bastante clara: menos incitaciones, más delegación y más intrusión entregada al modelo.

¿Qué deberían hacer ahora los defensores?

Las señales de comportamiento que produce este prototipo dan a los defensores algo concreto que buscar, porque la versión actual no intenta esconderse.

• Segmentar agresivamente las máquinas con capacidad de GPU. El diseño del gusano dirige la inferencia LLM a través de cualquier host GPU comprometido al que pueda llegar. En una red plana, un servidor de aprendizaje profundo comprometido se convierte en un centro de razonamiento para cada dispositivo infectado en la misma subred. Segmente la infraestructura de GPU y aplique controles de confianza cero para evitar el acceso lateral hacia y desde esos hosts.
• Trate los avisos publicados como objetivos de armamento a corto plazo. Para los CVE conectados a Internet, la ventana de explotación ya se mide en horas para algunas vulnerabilidades. Verifique la explotabilidad rápidamente, parchee primero la exposición a Internet y utilice controles de compensación cuando la implementación no pueda realizarse antes del siguiente ciclo comercial.
• Rote las credenciales expuestas en cualquier host comprometido o sospechoso de manera creíble. El gusano demostró la reutilización sistemática de credenciales como vía de propagación. Las credenciales recopiladas se mueven lateralmente más rápido que la mayoría de los ciclos de detección.
• Supervise las señales de comportamiento específicas del agente. La actividad de puerto no estándar, la inyección automatizada de clave pública SSH y los grupos de inferencia LLM que aparecen en puntos finales inesperados son los artefactos observables que deja este prototipo. Son el punto de partida de la lógica de detección.

En las pruebas, esa combinación produjo raíz en nuevas vulnerabilidades en 41 de 67 intentos y replicación al 62% de la red en siete días sin más intervención humana. Una vez que existe un punto de apoyo de GPU dentro de una red plana, el costo de mapear y explotar hosts adicionales se reduce a cualquier cómputo que el gusano pueda capturar, mientras que los avisos públicos se convierten en guías inmediatas.

La implementación no se hace pública. La Universidad de Toronto está estableciendo un proceso de investigación para que investigadores defensivos calificados soliciten acceso.