أثارت أداة اختبارات الاختراق المدعومة بالذكاء الاصطناعي، المسماة Villager، قلق باحثي الأمن السيبراني بعد أن سجّلت قرابة 11,000 تنزيل على مستودع حزم بايثون (PyPI)، في ظل تحذيرات من أن توفرها كحزمة جاهزة قد يجعلها قابلة لإعادة الاستخدام من قبل فاعلين خبيثين.
منطق تسويق مُضلّل وحدود الشفافية
تعود الحزمة، بحسب تحليل الباحثين، إلى كيان مرتبط بشركة تُدعى Cyberspike، عُرضت الأداة كحلّ لإجراء اختبارات الفريق الأحمر (red teaming) وأتمتة تدفقات العمل. رُفعت الحزمة أول مرة إلى PyPI أواخر يوليو 2025 بواسطة مستخدم باسم stupidfish001، وهو لاعب سابق في مسابقات CTF لفريق HSCSEC الصيني. تثير السرعة والانتشار العام لخدمات من هذا النوع قلقًا لكونها قد تتبع مسار أدوات شرعية تحولت إلى أدوات شائعة الاستخدام لدى المهاجمين — تذكّرنا بقصة Cobalt Strike.
شواهد تاريخية على الإنترنت تشير إلى أن Cyberspike تروّج لأدواتها كمنصة لمحاكاة هجمات الشبكة وما بعد الاختراق، غير أن مصادر معلوماتها العامة محدودة، مما يطرح تساؤلات حول الجهة الحقيقية وراء تطويرها ونواياها.
قدرات هجومية مُجمّعة ومكوّنات خطرة
تحليل التفحُّص كشف أن Villager لا يكتفي بأتمتة عمليات المسح والاستغلال بل يضمّ مكوّنات تشبه أدوات وصول عن بعد (RAT)؛ إذ تُظهر الحزمة تكاملًا مع AsyncRAT وإمكانات لمراقبة الضحية عن بُعد تشمل تسجيل ضغطات المفاتيح، اختراق حسابات Discord، السيطرة على الكاميرا، وسرقة بيانات حساسة. كما وُجدت تكاملات مع أدوات هجومية معروفة مثل Mimikatz، ما يعكس نهجًا في «تجميع» أدوات الاختراق المعروفة داخل إطار واحد جاهز للاستخدام.
عمل Villager كعميل لنموذج بروتوكول السياق (Model Context Protocol — MCP) سمح له بالاندماج مع أدوات Kali وLangChain ونماذج DeepSeek للذكاء الاصطناعي، ما يمكّنه من تحويل أوامر اللغة الطبيعية إلى أوامر تقنية قادرة على تنفيذ مهام هجومية معقّدة.
مخاطر خفض عتبة الهجوم والتخفي التشغيلي
أحد المخاطر الأساسية التي أشار إليها الباحثون هو أن انتشار أداة مكتوبة بلغة بايثون ونشرها على PyPI يخفض بشكل كبير من عتبة الدخول للهجوم: ما كان يتطلب خبراء ومراحل تطوير يدوية صار الآن قابلاً للتشغيل الآلي بسهولة. Villager يحتوي على قاعدة بيانات تضم أكثر من 4,200 تلميح نظامي (prompts) لتوليد استغلالات واتخاذ قرارات في الوقت الحقيقي، إضافة إلى آلية لإنشاء حاويات Kali Linux معزولة لتنفيذ المسح والاختبار ثم إتلافها بعد 24 ساعة، ما يعقّد جهود التحليل الجنائي وتتبع آثار الهجوم.
كما تعتمد الأداة على واجهة FastAPI لتنفيذ مهام القيادة والتحكم (C2) ومنصة وكيلة مبنية على Pydantic لتوحيد مخرجات الوكلاء، ما يجعل بنيتها قابلة للتوسعة والاندماج بسهولة في سلاسل أدوات هجومية أكبر. هذا النمط المعماري يُسهل على المهاجمين ذوي المهارات المتواضعة تنفيذ هجمات متقدمة وتكرارها بوتيرة عالية.
تداعيات وواجهات استجابة مطلوبة
يحذر الباحثون من أن ظهور أدوات مثل Villager يمثل تحوّلاً نوعيًا في مشهد الهجوم: الأتمتة المعتمدة على الذكاء الاصطناعي تتيح مسحًا واستغلالًا موازيًا على نطاق واسع، وتجعل قرارات الاستغلال تكيفية — أي أن المحاولات الفاشلة قد تُعاد تلقائيًا بصيغ مُعدّلة حتى تنجح. هذا يعني زيادة في وتيرة الحوادث وتعقيدًا أكبر لفرق الاستجابة والرصد داخل المؤسسات.
