VoidLink bewijst: malware wordt AI-gedreven

woensdag, 21 januari 2026 (10:55) - Techzine

In dit artikel:

Check Point Research heeft een geavanceerd Linux-malwareframework ontdekt dat volgens de onderzoekers grotendeels door AI is ontwikkeld: VoidLink. De malware, gericht op Linux- en cloudomgevingen, heeft een modulaire opzet, geavanceerde rootkit-technieken en uitbreidbaarheid via plugins. Op basis van stijl en technische keuzes vermoeden de onderzoekers een ontwikkelaar uit China, maar dat blijft voorlopig voorzichtig getypeerd.

Ontwikkeling begon eind november 2025 en liep door tot begin december; binnen een week was er al een werkende versie, die daarna uitgroeide tot ongeveer 88.000 regels code. Cruciaal voor het onderzoek waren operationele fouten van de ontwikkelaar: een open directory op een server leverde broncode, interne documentatie en helperbestanden op. Die gelekte materialen onthulden dat de maker werkte met TRAE SOLO, een AI-assistent geïntegreerd in een AI-georiënteerde IDE, en volgens Check Point een Spec Driven Development-aanpak gebruikte. De ontwikkelaar formuleerde doelen, randvoorwaarden en architectuur; de AI genereerde vervolgens het ontwikkelplan en de code die als blauwdruk diende.

Onderzoekers konden die werkwijze reproduceren: door de gelekte specificaties aan een AI-agent te voeren produceerden ze code die sterk overeenkomt met VoidLink, wat het bewijs ondersteunt dat AI hier niet slechts een hulpmiddel was maar de drijvende kracht. Het belangrijkste veiligheidsprobleem is dat één technisch bekwame actor met AI-gestuurde tooling resultaten kan bereiken waarvoor vroeger meerdere gespecialiseerde teams nodig waren. Omdat deze ontdekking alleen mogelijk werd door uitzonderlijke lekken, rijst de zorg hoeveel vergelijkbare AI-gedreven projecten onopgemerkt blijven.

Voor de verdediging betekent dit dat organisaties moeten rekenen op snellere, complexere en AI-geassisteerde aanvallen op cloud- en Linux-infrastructuren. Praktische maatregelen zijn onder meer gedragsgebaseerde detectie, strengere beveiliging van ontwikkelomgevingen en logverzameling, plus beleidsmaatregelen en toezicht op misbruik van AI-tools. Het incident onderstreept ook de moeilijkheid van attributie en de noodzaak om bedreigingen vroegtijdig te signaleren voordat ontwikkelaars op operational security steken.