加拿大多伦多大学研究团队近日验证了一类自适应AI计算机蠕虫原型，显示公开可获取的开源权重人工智能模型，已经能够驱动恶意程序在封闭网络中自主侦察、判断目标弱点、生成攻击策略并继续复制扩散。该研究在隔离数字实验室内完成，目标是提前揭示AI代理与网络蠕虫结合后可能带来的新型安全风险。

这项研究的冲击力在于，它把传统网络蠕虫从“固定脚本攻击”推进到“实时推理攻击”的层面。过去的蠕虫通常依赖人类预先写好的漏洞利用链，一旦目标环境发生变化，或者关键漏洞被补丁修复，传播能力就会快速下降。多伦多大学团队展示的AI蠕虫则不同，它不是只沿着单一漏洞路径扩散，而是在接触到一台新设备后，先观察系统环境和可用服务，再结合已知漏洞、配置弱点和凭证信息生成针对性策略。换句话说，它具备一定“看环境再行动”的能力，能够根据不同主机、不同系统和不同弱点调整路线。研究团队强调，原型并未依赖最先进的商业大模型，也未使用受中心化平台控制的云端AI能力，而是通过本地运行的开源权重大语言模型和代理框架实现自主传播，这使传统依靠模型厂商审核、API限流或拒答机制构建的防线面临新的边界问题。

实验网络名为“FakeCorp”，由33台虚拟机器组成，模拟现代企业环境中的多层攻击面，包含Linux、Windows及物联网设备等不同目标。研究结果显示，在每轮7天完全自主运行中，该AI蠕虫平均识别31.3个漏洞，获得23.1台主机的提升权限，并复制传播至20.4台主机，平均成功利用约73.8%的网络目标，复制到约61.8%的网络节点，传播代际最高达到7代。这些数据并不意味着真实世界网络会被同样比例攻破，因为实验环境特意放置了可利用弱点，也没有部署完整的终端检测、杀毒或主动防火墙系统；但它足以说明，AI代理已经能够把“发现目标—制定策略—执行利用—复制自身”这条链路连接起来，形成一种可被研究界严肃评估的新型自主网络威胁。

更值得警惕的是，这类AI蠕虫的危险不只来自“攻击能力”，还来自攻击经济学的变化。研究显示，蠕虫一旦控制具备GPU资源的主机，就可以在受害机器上运行本地语言模型，为后续攻击提供推理能力；对于没有足够算力的设备，也可以通过已控制的上游节点请求推理支持。这样一来，攻击者在初始投放之后，每感染一台新设备的边际成本会显著下降，传播过程还可能不断吸收新的计算资源。传统网络攻防中，攻击者通常要在时间、人力和算力之间取舍，只能优先选择高价值目标；而自适应AI蠕虫如果进入真实网络，理论上可以把低价值设备作为跳板，把打印机、摄像头、工作站、服务器、智能温控设备等纳入同一扩散链条，逐步逼近金融系统、医院网络、能源基础设施和企业核心业务系统。

这项科技创新研究的核心价值，不是制造恐慌，而是把未来几年网络安全可能遭遇的形态提前摆到台面上。AI安全过去更多关注大模型是否会输出有害内容、是否能发现零日漏洞、是否被越狱滥用；多伦多大学团队展示的方向则提示，真正的风险可能来自“模型+工具+记忆+执行环境+复制机制”的组合。单个模型能力未必顶尖，但一旦被代理框架组织起来，并接入网络工具、文件传输、命令执行和目标观察能力，就可能表现出远超孤立模型评测的攻击能力。研究团队还指出，该原型能够利用公开漏洞公告中的信息，把新披露漏洞转化为攻击路径，这意味着漏洞披露到补丁完成之间的窗口期可能被AI自动化进一步压缩。

从防御侧看，传统“修一个漏洞、封一条路径”的思路已经不足以覆盖这类威胁。未来安全体系需要同时关注资产暴露面、凭证复用、权限分层、异常横向移动、GPU和本地算力调用、代理式行为特征、自动化脚本生成痕迹以及多节点协同传播迹象。企业也需要把补丁管理、多因素认证、强密码、网络分区、最小权限、终端检测和日志关联从基础合规项升级为AI时代的核心防线。对政府、科研机构和产业界而言，这项研究提供了一个清晰信号：AI安全不能只评估模型本身，还必须评估模型被放入工具链、执行环境和网络系统后的整体能力。自适应AI蠕虫的出现，使网络安全竞争从“漏洞快修”进入“自主代理快防”的新阶段。