该论文提出了一种基于人工智能（AI）代理的新型自适应计算机蠕虫。传统蠕虫（如WannaCry）利用固定漏洞进行传播，可通过打补丁阻断。而本文展示的AI蠕虫能够在感染每台机器后，利用被入侵设备上的开源大语言模型（LLM）进行推理，针对每个新目标生成定制化的攻击策略。蠕虫通过寄生方式窃取计算资源运行LLM，实现自我维持的推理和传播。作者在包含Linux、Windows和物联网设备的网络上进行了实验，利用常见的真实企业网络漏洞进行传播。由于攻击者无需额外成本（仅需初始感染，后续利用受害者的算力），攻击者的边际成本为零，导致攻防双方经济不对称。此外，该蠕虫不依赖商业AI平台，因此集中式安全控制（如服务拒绝、速率限制）对其无效。实验证明，这种自我维持的AI驱动网络威胁已成为现实。本文适合安全研究人员、防御者和政策制定者阅读，以了解新型AI恶意软件的能力和防御挑战。

本研究聚焦于自主大语言模型（LLM）代理在持续运行环境下的新型安全威胁——代理蠕虫。自主LLM代理通常以长时间运行的进程形式存在，拥有持久化工作空间、内存文件、定时任务状态及消息集成功能。这些特性使得攻击者能够将受控内容写入代理的持久状态，并通过定时自动加载重新进入LLM的决策上下文，从而驱动高风险动作，包括配置更改和跨代理传播。论文提出了首个针对文件支持的多代理LLM生态系统中持久蠕虫传播的自动化分析框架。核心贡献包括：1）SSCGV（自动源代码图分析器），无需人工分析即可从文件I/O到LLM上下文注入点追踪数据流，并根据上下文注入位置对载体进行排序；2）SRPO（抗摘要载荷优化器），生成能够抵抗LLM中间摘要和改写的蠕虫载荷，支持多跳通信。在三个生产级代理框架上的评估显示，该方法实现了零点击自主传播、无需平台特定适配的三跳跨平台传输、代理间权限提升及数据窃取。实验发现两个关键洞察：用户提示载体比系统提示载体具有更高的攻击合规性；读操作是LLM中介系统中最主要的完整性威胁。针对此类攻击，作者提出了RTW-A防御机制，并在形式化的“无持久蠕虫传播定理”下证明其有效性。RTW阻止写操作在暴露读之前重入；密封配置保护静态文件；类型化内存提升防止不可信摘要进入可信内存；能力衰减限制外部读取后的高风险动作。这些机制消除了持久性、重入和动作链，同时保留正常业务流程。受影响的系统已匿名处理，等待协调披露。