Pesquisadores da ESET identificaram o PromptLock, o que pode ser considerado o primeiro ransomware que utiliza inteligência artificial localmente para automatizar e dinamizar suas ações maliciosas. O caso marca um novo estágio na evolução das ameaças digitais, com o uso de IA ampliando a capacidade de adaptação e evasão desses ataques.
Ao contrário de ferramentas que dependem de conexões com APIs públicas, o PromptLock opera com o modelo gpt-oss:20b de forma totalmente local, por meio da plataforma Ollama. Isso permite que o malware gere comandos e scripts maliciosos sob demanda, sem depender de servidores externos, dificultando a detecção por soluções tradicionais. O ransomware usa IA para gerar código em linguagem Lua, que executa tarefas como análise de arquivos, criptografia e exfiltração de dados. A geração não determinística de scripts faz com que cada execução seja diferente, criando comportamento dinâmico e imprevisível.
O malware foi desenvolvido em Go (Golang) e possui variantes funcionais para Windows, macOS e Linux, o que amplia seu escopo de atuação. Segundo a ESET, trata-se de um protótipo ou prova de conceito, mas já demonstra o potencial destrutivo de agentes automatizados com IA embarcada. Além disso, a IA é utilizada também para contornar heurísticas e escapar de mecanismos de sandboxing e análise comportamental. Isso torna o ransomware ainda mais difícil de detectar e conter, especialmente em ambientes corporativos onde múltiplos sistemas operacionais coexistem.
