AI-Developed 2FA Exploit

كشف باحثو الأمن السيبراني عن جهة تهديد مجهولة سابقًا تستغل ثغرة أمنية غير معروفة يُعتقد أنها طُوّرت بمساعدة الذكاء الاصطناعي. وتُعدّ هذه أول حالة موثقة لاستخدام الذكاء الاصطناعي بشكل فعلي في عمليات خبيثة حقيقية لاكتشاف الثغرات الأمنية وتطوير برامج استغلالها.

يعزو المحققون هذه الحملة إلى مجموعات إجرامية إلكترونية منسقة، يبدو أنها تعاونت في مبادرة واسعة النطاق لاستغلال ثغرة أمنية. وكشف تحليل سلسلة الهجمات المرتبطة بها عن ثغرة أمنية غير معروفة (ثغرة اليوم الصفر) مضمنة في برنامج بايثون، قادرة على تجاوز حماية المصادقة الثنائية (2FA) في منصة إدارة أنظمة مفتوحة المصدر واسعة الانتشار وقائمة على الويب.

على الرغم من عدم وجود أدلة مباشرة تربط أداة الذكاء الاصطناعي "جيميني" من جوجل بهذه العملية، فقد خلص الباحثون بثقة عالية إلى أن نموذج الذكاء الاصطناعي لعب دورًا هامًا في اكتشاف الثغرة واستغلالها. أظهر كود بايثون العديد من الخصائص الشائعة المرتبطة بمخرجات نماذج اللغة الكبيرة، بما في ذلك التنسيق عالي التنظيم، وسلاسل التوثيق التعليمية الشاملة، وقوائم المساعدة المفصلة، وتطبيق ألوان ANSI واضح. كما احتوى البرنامج النصي على درجة CVSS مُختلقة، وهو مثال شائع على الخلل في الذكاء الاصطناعي.

كيف تعمل ثغرة تجاوز المصادقة الثنائية؟

تتطلب الثغرة الأمنية المكتشفة بيانات اعتماد مستخدم شرعية لكي تعمل بنجاح. وقد توصل الباحثون إلى أن الخلل ناتج عن ضعف في المنطق الدلالي بسبب افتراض ثقة مُضمّن في عملية مصادقة التطبيق. وتُعدّ هذه الثغرات المنطقية عالية المستوى من ضمن القدرات التحليلية لأنظمة إدارة التعلم الحديثة.

يحذر خبراء الأمن من أن الذكاء الاصطناعي يُسرّع بشكلٍ كبير جميع مراحل دورة حياة الهجمات الإلكترونية، بدءًا من اكتشاف الثغرات الأمنية وصولًا إلى التحقق من استغلالها ونشرها عمليًا. ويؤدي الاستخدام المتزايد للذكاء الاصطناعي من قِبل الجهات المُهدِّدة إلى تقليل الوقت والجهد اللازمين لتحديد نقاط الضعف وشن الهجمات، مما يضع المدافعين تحت ضغط متزايد.

الذكاء الاصطناعي يوسع نطاق البرمجيات الخبيثة واستغلالها

لم يعد الذكاء الاصطناعي مقتصراً على مساعدة أبحاث الثغرات الأمنية، بل يستخدمه المهاجمون الآن لبناء برمجيات خبيثة متعددة الأشكال، وأتمتة العمليات الخبيثة، وإخفاء وظائف الهجوم. ومن الأمثلة البارزة على ذلك برنامج PromptSpy، وهو نوع من البرمجيات الخبيثة لنظام أندرويد يستغل نظام Gemini لتحليل النشاط على الشاشة وإصدار تعليمات تساعده على البقاء ضمن قائمة التطبيقات الحديثة.

كما وثّق الباحثون العديد من الحالات البارزة التي تنطوي على أنشطة خبيثة بمساعدة برنامج جيميني:

أفادت التقارير أن مجموعة التجسس الإلكتروني المشتبه بارتباطها بالصين، UNC2814، استخدمت أساليب اختراق النظام التي تعتمد على انتحال شخصية المستخدم لإجبار جهاز Gemini على تقمص دور خبير أمن الشبكات. وكان الهدف من ذلك دعم أبحاث الثغرات الأمنية التي تستهدف الأجهزة المدمجة، بما في ذلك برامج TP-Link الثابتة وتطبيقات بروتوكول نقل الملفات Odette (OFTP).

يُزعم أن الجهة الفاعلة الكورية الشمالية APT45 أصدرت آلاف المطالبات المتكررة المصممة لتحليل الثغرات الأمنية (CVEs) والتحقق من صحة عمليات الاستغلال التي تثبت المفهوم.

وبحسب ما ورد، استخدمت مجموعة القرصنة الصينية APT27 منصة Gemini لتسريع تطوير تطبيق لإدارة الأسطول من المحتمل أن يكون الغرض منه إدارة بنية تحتية لصندوق الترحيل التشغيلي (ORB).

استخدمت عمليات الاختراق المرتبطة بروسيا والتي استهدفت المنظمات الأوكرانية عائلات من البرامج الضارة المدعومة بالذكاء الاصطناعي والمعروفة باسم CANFAIL و LONGSTREAM، وكلاهما يتضمن رمزًا وهميًا تم إنشاؤه بواسطة LLM لإخفاء السلوك الخبيث.

بيانات التدريب المُسلّحة وعمليات الذكاء الاصطناعي المستقلة

كما لوحظ قيام جهات تهديد بتجربة مستودع GitHub متخصص يُدعى "wooyun-legacy"، مصمم كإضافة لبرنامج Claude Code. يحتوي المستودع على أكثر من 5000 حالة ثغرة أمنية حقيقية، جُمعت في الأصل من قِبل منصة الكشف عن الثغرات الأمنية الصينية WooYun بين عامي 2010 و2016.

من خلال تغذية أنظمة الذكاء الاصطناعي بهذه البيانات، يستطيع المهاجمون تفعيل خاصية التعلم السياقي التي تُدرّب النماذج على تحليل شفرة المصدر بدقة تضاهي دقة باحثي الأمن ذوي الخبرة. وهذا يُحسّن بشكل ملحوظ قدرة الذكاء الاصطناعي على تحديد الثغرات المنطقية الدقيقة التي قد تغفل عنها النماذج التقليدية.

كشف باحثون أيضاً أن جهة تهديد يُشتبه في انتمائها للصين استخدمت أدوات ذكاء اصطناعي متطورة، مثل Hexstrike AI وStrix، خلال هجمات استهدفت شركة تكنولوجيا يابانية ومنصة رئيسية للأمن السيبراني في شرق آسيا. وبحسب التقارير، مكّنت هذه الأدوات من تنفيذ عمليات استطلاع واكتشاف آلية بأقل قدر من التدخل البشري.

الآثار الأمنية المتزايدة للذكاء الاصطناعي الهجومي

تُبرز هذه النتائج تحولاً جذرياً في مشهد التهديدات السيبرانية. فالذكاء الاصطناعي يتطور بسرعة من أداة لزيادة الإنتاجية إلى عامل مُضاعف لقوة العمليات السيبرانية الهجومية. بدءاً من اكتشاف الثغرات الأمنية غير المعروفة (ثغرات اليوم الصفر) وصولاً إلى أتمتة نشر البرمجيات الخبيثة وتعزيز التخفي العملياتي، يُغير الذكاء الاصطناعي بشكل جذري كيفية تخطيط وتنفيذ الهجمات السيبرانية.

مع استمرار نضوج القدرات السيبرانية المدعومة بالذكاء الاصطناعي، تواجه المؤسسات مستقبلاً تصبح فيه الهجمات أسرع وأكثر تكيفاً، ويصعب اكتشافها بشكل متزايد قبل وقوع الضرر.