Imagine uma inteligência artificial (IA) não apenas capaz de criar textos, imagens e códigos úteis, mas também apta a escrever malwares em tempo real, moldados de acordo com cada situação e quase impossíveis de serem detectados pelas defesas tradicionais. Esse não é mais um cenário distante: ele já existe e atende pelo nome de PromptLock.
O PromptLock é o primeiro ransomware com IA documentado por pesquisadores de segurança. Ele representa um avanço perturbador no arsenal de ferramentas do cibercrime, pois demonstra que modelos de linguagem podem ser usados para criar ataques dinâmicos contra Windows, macOS e Linux.
Embora ainda classificado como uma prova de conceito e não seja uma ameaça ativa em larga escala, o PromptLock acende um alerta global. Ele inaugura uma nova era de ciberataques inteligentes, mutáveis e altamente evasivos, exigindo mudanças profundas na forma como entendemos e praticamos a cibersegurança.
O que é o PromptLock?
O PromptLock é um ransomware experimental escrito em Go (Golang), uma linguagem que facilita a compilação para múltiplos sistemas operacionais. Essa escolha técnica garante que o malware possa rodar em Windows, macOS e Linux sem grandes adaptações, tornando-o especialmente perigoso.
O malware foi identificado por pesquisadores da ESET, que apontaram seu funcionamento híbrido: além de criptografar arquivos, ele também é capaz de roubar dados sensíveis da máquina vítima. Apesar de ainda ser um protótipo, ele demonstra claramente o que pode acontecer quando IA e cibercrime se encontram.
A arquitetura do ataque: como a inteligência artificial se torna uma arma
O cérebro da operação: a API Ollama e o LLM
O componente mais inovador do PromptLock não está no código em si, mas na forma como ele utiliza a inteligência artificial. O malware se conecta à API Ollama, uma plataforma que permite executar grandes modelos de linguagem (LLMs) localmente ou em servidores.
Por meio dessa API, o PromptLock acessa o modelo gpt-oss:20b, que atua como uma “mente criminosa sob demanda”, gerando instruções para cada etapa do ataque.
Geração dinâmica de scripts: a verdadeira ameaça
Ao contrário de ransomwares tradicionais, que possuem um conjunto fixo de comandos, o PromptLock envia prompts para a IA, que responde criando scripts em Lua personalizados. Esses scripts podem:
- Enumerar e mapear arquivos da vítima.
- Roubar dados antes da criptografia.
- Executar a própria criptografia maliciosa.
Esse mecanismo é disruptivo porque o código nunca é o mesmo. A cada execução, a IA pode gerar variações diferentes, o que torna quase impossível para soluções de segurança baseadas em assinaturas preverem ou detectarem o ataque.
Uma prova de conceito com falhas (por enquanto)
Apesar do seu potencial, o PromptLock ainda possui sinais claros de experimentalismo. Ele utiliza o algoritmo de criptografia SPECK, considerado frágil e inseguro, além de conter marcadores que indicam testes e não uma operação criminosa em andamento.
No entanto, esses detalhes não diminuem o alerta: eles apenas mostram que estamos diante de uma versão inicial de uma tecnologia que pode evoluir rapidamente.
Por que um ransomware com IA é um divisor de águas na cibersegurança?
Evasão de defesas tradicionais
A principal ameaça trazida pelo ransomware com IA é sua capacidade de driblar antivírus e EDRs. Como o código malicioso é gerado dinamicamente, não há uma assinatura fixa a ser rastreada. Isso força a indústria de segurança a repensar seus métodos e investir em análises comportamentais e técnicas de detecção mais avançadas.
Reduzindo a barreira para cibercriminosos
Outro ponto crítico é que esse tipo de tecnologia reduz drasticamente a barreira de entrada para novos criminosos. Se antes era necessário um nível técnico elevado para escrever malwares sofisticados, agora basta pedir à IA que gere o código necessário. Isso pode abrir espaço para uma explosão de malwares sob demanda criados por agentes com pouca ou nenhuma experiência em programação.
Um cenário que já se desenha: o caso LameHug
O PromptLock não é um caso isolado. Pesquisadores também já identificaram outro malware experimental chamado LameHug, associado ao grupo de espionagem APT28. Esse precedente mostra que o uso de IA para fins maliciosos está crescendo e que novas variantes podem surgir rapidamente, alimentadas por cibercriminosos com objetivos variados.
Conclusão: estamos preparados para a próxima geração de ameaças?
O surgimento do PromptLock marca um ponto de virada na cibersegurança. Mesmo sendo apenas uma prova de conceito, ele mostra que o malware com IA deixou de ser um exercício teórico e passou a ser uma ameaça real, capaz de evoluir para ataques devastadores em pouco tempo.
A comunidade de segurança, empresas e usuários precisam se preparar para esse novo paradigma. Isso inclui investir em ferramentas de detecção comportamental, repensar estratégias de defesa e, sobretudo, manter-se informado sobre como essas novas ameaças funcionam.
O ransomware com IA não é apenas mais uma categoria de malware: ele inaugura uma era em que os próprios ataques serão criativos, dinâmicos e adaptáveis.
Se o PromptLock acendeu um alerta, a mensagem é clara: a próxima geração de ciberameaças já começou. E a grande questão é — estamos prontos para enfrentá-la?
