Onderzoekers van Unit 42, het onderzoeksteam van Palo Alto Networks, zien een snel groeiende markt voor zogenoemde dark LLM’s. Deze aangepaste AI-modellen halen veiligheidsbeperkingen weg en maken het eenvoudiger om geavanceerde cyberaanvallen te ontwikkelen en uit te voeren.
Dark LLM’s zijn Large Language Models die bewust zijn aangepast of gebouwd om geen veiligheidsremmen meer te hebben. Volgens Unit 42 vormt dat een nieuw hoofdstuk in het dual-use-dilemma rond technologie. Dezelfde modellen die securityteams helpen bij detectie en response, kunnen criminelen inzetten om aanvallen te versnellen en op te schalen.
Verdienmodel
Unit 42 ziet een groeiend ecosysteem van op maat gemaakte modellen zoals WormGPT en FraudGPT. Deze worden verkocht via Telegram-kanalen en darkwebfora. De modellen genereren onder meer phishingmateriaal, malware-scaffolding en geautomatiseerde scripts voor aanvallen.
De distributie volgt een commercieel model. Toegang verloopt via abonnementen met beloftes van “ongecensureerde” output en ondersteuning, vergelijkbaar met SaaS-diensten. Daarnaast duiken open-sourcevarianten op, zoals KawaiiGPT, die lokaal te installeren zijn zonder uitgebreide programmeerkennis. Daarmee wordt de inzetbaarheid groter voor minder technisch onderlegde criminelen.
lees ook
Trend Micro: “Cybercriminaliteit volledig geautomatiseerd in 2026”
De onderzochte modellen produceren volgens Unit 42 foutloze phishingteksten en bruikbare code-fragmenten voor malware. Dat verlaagt de instapdrempel en ondersteunt grootschalige, geautomatiseerde campagnes.
Ondergrondse markt
De onderzoekers concluderen dat dark LLM’s zijn geëvolueerd van experiment naar een volwaardige ondergrondse markt. LLM-automatisering komt daardoor centraal te staan in de werkwijze van aanvallers.
Voor beveiligingsteams betekent dit dat zij niet alleen moeten kijken naar klassieke indicatoren, maar ook naar door AI gegenereerde artefacten. Denk aan zeer overtuigende phishingmails of snel wisselende malwarevarianten.