أعلنت شركة Check Point للأمن السيبراني عن تقنية جديدة مثيرة للقلق تحمل اسم AI as a C2 Proxy، توضح كيف يمكن استغلال المساعدات الذكية مثل Microsoft Copilot وxAI Grok كقنوات خفية للتحكم والسيطرة (Command-and-Control) على البرمجيات الخبيثة. هذه الطريقة تعتمد على قدرات التصفح وجلب الروابط التي توفرها أنظمة الذكاء الاصطناعي، مما يسمح للمهاجمين باستخدامها كوسيط شرعي لنقل الأوامر والبيانات بعيداً عن أعين أنظمة المراقبة التقليدية.
آلية الهجوم: الذكاء الاصطناعي كوسيط شرعي
يعتمد الهجوم على تمرير أوامر عبر واجهات التصفح والملخصات النصية التي يقدمها المساعد الذكي. وبذلك يتحول Copilot أو Grok إلى قناة اتصال ثنائية الاتجاه، حيث يستقبل الأوامر من المهاجم ويرسل بيانات الجهاز المصاب. الأخطر أن هذه العملية لا تحتاج إلى مفاتيح API أو حسابات مسجلة، ما يجعل إجراءات الحظر التقليدية مثل إلغاء المفاتيح أو تعليق الحسابات عديمة الجدوى.
من الاستطلاع إلى التنفيذ
يشير الباحثون إلى أن هذه التقنية لا تقتصر على تمرير الأوامر، بل يمكنها أيضاً دعم المهاجمين في مراحل متعددة من الهجوم، مثل:
- تنفيذ عمليات استطلاع وجمع معلومات عن النظام المستهدف.
- توليد شيفرات برمجية ديناميكية تتكيف مع بيئة الجهاز المصاب.
- صياغة استراتيجيات مراوغة لتجنب الاكتشاف.
- تحديد الخطوات التالية للهجوم بشكل آلي اعتماداً على البيانات المجمعة.
استغلال الخدمات الموثوقة
هذا الأسلوب يُشبه حملات “العيش على الخدمات الموثوقة” (LOTS)، حيث يتم استغلال منصات شرعية لتوزيع البرمجيات الخبيثة أو تمرير أوامر التحكم. وبما أن Copilot وGrok يُنظر إليهما كخدمات موثوقة داخل بيئات العمل، فإن استخدامهما كقنوات خفية يمنح المهاجمين قدرة على الاندماج في الاتصالات الشرعية للمؤسسات دون إثارة الشبهات.
هجمات مشابهة وتطور خطير
قبل أسابيع، كشفت وحدة Unit 42 التابعة لشركة Palo Alto Networks عن هجوم جديد يحوّل صفحات ويب عادية إلى مواقع تصيّد عبر استدعاء واجهات برمجية لنماذج لغوية كبيرة (LLMs) لتوليد شيفرات JavaScript خبيثة في الزمن الحقيقي. هذا الأسلوب يشبه هجمات Last Mile Reassembly (LMR) التي تعتمد على تهريب البرمجيات عبر قنوات غير مراقبة مثل WebRTC وWebSocket، ثم تجميعها مباشرة في متصفح الضحية.
ويحذر الباحثون من أن المهاجمين قد يستخدمون هندسة موجهة دقيقة لتجاوز أنظمة الحماية المدمجة في الذكاء الاصطناعي، مما يسمح لهم بالحصول على شيفرات خبيثة جاهزة للتنفيذ داخل بيئة المستخدم.
