في تطور خطير يسلط الضوء على الوجه المظلم للذكاء الاصطناعي، أعلنت شركة Google أنها رصدت حملة هجومية واسعة النطاق استخدم فيها قراصنة مجهولون نموذجاً ذكياً لاكتشاف ثغرة غير مسبوقة من نوع Zero-Day تتيح تجاوز المصادقة الثنائية (2FA) على أداة مفتوحة المصدر لإدارة الأنظمة عبر الويب. هذه هي المرة الأولى التي يُستخدم فيها الذكاء الاصطناعي بشكل عملي في البرية لتوليد استغلال أمني جديد.
ثغرة منطقية تكشفها الخوارزميات
بحسب تقرير فريق Google Threat Intelligence Group (GTIG)، فإن الاستغلال تم عبر سكربت بلغة Python يحمل بصمات واضحة لكونه ناتجاً عن نموذج لغوي كبير (LLM). الملف احتوى على تعليقات تعليمية مطولة، وقائمة مساعدة منظمة، وحتى درجة CVSS “متخيلة”، وهي سمات شائعة في الأكواد التي تولدها النماذج الذكية.
الثغرة نفسها نتجت عن افتراض ثقة مدمج في النظام، وهو نوع من الأخطاء المنطقية التي تجيد النماذج الذكية اكتشافها. الاستغلال يتطلب بيانات اعتماد صحيحة، لكنه يسمح بتجاوز طبقة الحماية الإضافية التي توفرها المصادقة الثنائية.
تسارع غير مسبوق في دورة الهجوم
خبراء الأمن السيبراني، مثل Ryan Dewhurst من شركة watchTowr، أكدوا أن الذكاء الاصطناعي بات يضغط الزمن بشكل غير مسبوق: “الاكتشاف، التسليح، والاستغلال أصبح أسرع. نحن لا نتجه نحو ضغط الجداول الزمنية، بل نعيشها بالفعل”.
هذا يعني أن المدافعين أمام واقع جديد حيث لا يمكنهم الاعتماد على دورات التصحيح التقليدية، لأن المهاجمين باتوا يعملون بسرعة الآلة لا بسرعة البشر.
برمجيات خبيثة مدعومة بالذكاء الاصطناعي: حالة PromptSpy
إلى جانب استغلال الثغرات، رصدت Google برمجية PromptSpy على نظام أندرويد، والتي تستغل قدرات الذكاء الاصطناعي لتحليل واجهة المستخدم في الوقت الفعلي، وتوجيه التطبيق الخبيث للبقاء في قائمة التطبيقات الحديثة، والتقاط بيانات بيومترية لإعادة تشغيل أنماط القفل.
البرمجية مجهزة أيضاً بآلية تمنع إلغاء تثبيتها عبر طبقة شفافة تخفي زر “Uninstall”، ما يمنحها قدرة عالية على البقاء. والأخطر أنها مصممة بمرونة تشغيلية تسمح بتغيير البنية التحتية (مثل مفاتيح Gemini أو خوادم VNC) أثناء التشغيل دون الحاجة لإعادة نشر الحمولة.
مشهد عالمي من الاستغلالات المدعومة بالذكاء الاصطناعي
التقارير الأخيرة تكشف أن مجموعات تهديد من الصين، كوريا الشمالية، وروسيا استخدمت نماذج مثل Gemini وClaude في أنشطة متنوعة:
- UNC2814 المرتبطة بالصين وظفت Gemini في أبحاث ثغرات أجهزة مدمجة.
- APT45 الكورية الشمالية أرسلت آلاف الطلبات المتكررة لتحليل ثغرات CVE والتحقق من استغلالاتها.
- مجموعات روسية استهدفت أوكرانيا ببرمجيات خبيثة مثل CANFAIL وLONGSTREAM التي تخفي وظائفها عبر أكواد مولدة من LLM.
كما ظهر سوق رمادي في الصين يوفر وصولاً غير مشروع إلى واجهات برمجية (APIs) للنماذج عبر خوادم وسيطة، ما يفتح الباب أمام مخاطر أمنية إضافية مثل تسريب البيانات أو استبدال النماذج.
تهديدات لسلاسل توريد الذكاء الاصطناعي
إلى جانب الاستغلال المباشر، حذرت Google من أن بيئات الذكاء الاصطناعي نفسها أصبحت هدفاً لهجمات سلسلة التوريد. المهاجمون الذين يخترقون أنظمة الذكاء الاصطناعي الداخلية يمكنهم استخدام النماذج والأدوات لجمع معلومات حساسة أو تنفيذ مهام استطلاعية داخل الشبكات، مما يوسع نطاق التهديدات إلى مستويات غير مسبوقة.
