پژوهش جدید شرکت Cogent Research نشان میدهد توسعه اکسپلویت با هوش مصنوعی میتواند فاصله میان افشای یک آسیبپذیری (CVE) و تولید اکسپلویت عملیاتی را حدود 0.5 روز (نصف روز) کاهش دهد. این روند نشان میدهد توسعه اکسپلویت با هوش مصنوعی معادلات سنتی امنیت سایبری و مدیریت آسیبپذیری را بهطور جدی تغییر داده است.
کاهش زمان ساخت اکسپلویت
طبق بررسی 69,159 آسیبپذیری، سرعت سوءاستفاده از آسیبپذیریها به شکل چشمگیری افزایش یافته است. در ژانویه 2025، توسعه یک اکسپلویت بهطور متوسط 125.3 روز زمان میبرد، اما تا آوریل 2026 این زمان به حدود 0.5 روز کاهش یافته است.
این تغییر نشان میدهد توسعه اکسپلویت با هوش مصنوعی باعث کوچک شدن پنجره واکنش تیمهای امنیتی شده و مهاجمان میتوانند پیش از آماده شدن سازوکارهای دفاعی، از آسیبپذیریها سوءاستفاده کنند.
نقش LLMها در توسعه اکسپلویت با هوش مصنوعی و تولید PoC
به گفته Geng Sng از Cogent Security، مدلهای زبانی بزرگ (LLMs) قادرند تغییرات کد اعمالشده در پچهای امنیتی (Patch Diff) را تحلیل کرده و بر اساس آن، PoC اکسپلویت تولید کنند.
او تأکید میکند که دادههای این پژوهش صرفاً بیانگر توانایی نسل فعلی ابزارهای هوش مصنوعی است و به مدلهای پیشرفتهتر یا اصطلاحاً Frontier Models مربوط نمیشود. به گفته او، آنچه امروز مشاهده میشود نتیجه قابلیتهای فعلی هوش مصنوعی است؛ موضوعی که نشان میدهد توسعه اکسپلویت با هوش مصنوعی حتی بدون دسترسی به مدلهای پیشرفتهتر نیز به مرحله عملیاتی رسیده است.
Mythos و آینده سرعت اکسپلویت
طبق پیشبینیها، در صورت فراگیر شدن قابلیتهایی مانند Claude Mythos، تولید اکسپلویت ممکن است به سطح یک پژوهشگر حرفهای برسد.
در چنین شرایطی، سرعت فعلی بهجای یک وضعیت خاص، به روند معمول در توسعه اکسپلویت با هوش مصنوعی تبدیل خواهد شد.
شکاف دید امنیتی در برابر سرعت جدید اکسپلویتها
این پژوهش تنها به سرعت توسعه اکسپلویتها محدود نمیشود و برای تیمهایی که به تشخیص مبتنی بر اسکنرها متکی هستند نیز یافتههای نگرانکنندهای ارائه میدهد. در این رویکرد، سازمانها با استفاده از ابزارهای اسکن خودکار تلاش میکنند نشانهها و الگوهایی را شناسایی کنند که وجود آسیبپذیریها و مسیرهای احتمالی سوءاستفاده را در شبکهها و سیستمها مشخص میکند.
شرکت Cogent Research دادههای خود را از پایگاههای عمومی افشای آسیبپذیری، از جمله National Vulnerability Database (NVD) و MITRE CVE جمعآوری کرده است. در این تحلیل، 57,860 آسیبپذیری منتشرشده در سالهای 2025 و 2026 بررسی شده و زمان دقیق انتشار هر مورد ثبت شده است.
سپس این دادهها با زمان انتشار امضاهای تشخیص (Detection Signatures) در سه پلتفرم اصلی اسکن امنیتی یعنی Tenable، Qualys و Rapid7 تطبیق داده شده تا فاصله زمانی میان افشای آسیبپذیری و قابلیت شناسایی آن اندازهگیری شود.
نتایج این تطبیق نشان میدهد بخش قابلتوجهی از آسیبپذیریهای بحرانی باعث ایجاد وضعیتی شدهاند که Cogent آن را شکاف دید امنیتی (Visibility Gap) تعریف میکند. مهمترین نتایج عبارتند از:
- 2 درصد از آسیبپذیریهای بحرانی با این شکاف مواجه شدهاند.
- 7 درصد از CVEهای بحرانی هیچگونه پوشش تشخیصی از سوی اسکنرهای اصلی دریافت نکردهاند.
- در میان موارد دارای امضای تشخیص، 62 درصد پیش از آماده شدن قابلیت شناسایی، در معرض اکسپلویتهای فعال قرار گرفتهاند.
تأخیر در تشخیص و نقش ارائهدهندگان ابزارهای اسکن در توسعه اکسپلویت با هوش مصنوعی
Sng تأکید میکند بسیاری از تیمهای امنیتی از قبل میدانند چرخههای اسکن هفتگی یا ماهانه با سرعت تهدیدات همخوانی ندارند و به همین دلیل به سمت اسکنهای پیوسته حرکت کردهاند. با این حال، دادههای Cogent نشان میدهد ریشه شکاف دید امنیتی فقط به کُندی فرآیندهای داخلی سازمانها محدود نمیشود، بلکه سیاستها و توانمندیهای ارائهدهندگان ابزارهای اسکن نیز در آن نقش مهمی دارند.
بر اساس این گزارش، از ژانویه 2025 تاکنون، 54 درصد از CVEهای منتشرشده هیچ امضای تشخیص از هیچیک از سه ارائهدهنده اصلی دریافت نکردهاند.
اختلاف در زمان انتشار امضای تشخیص پس از افشا
همچنین نتایج نشان میدهد فاصله زمانی میان افشای آسیبپذیری و انتشار امضای تشخیص در میان توسعهدهندگان متفاوت است. میانگین تأخیر تشخیص (Median Detection Lag) به این صورت گزارش شده است:
- Tenable: حدود 0.1 روز
- Qualys: حدود 2.9 روز
- Rapid7: حدود 5.1 روز
آسیبپذیریهای بحرانی و احتمال بالاتر اکسپلویت پیش از امضا
طبق این گزارش، آسیبپذیریهای بحرانی (Critical) بیش از سایر موارد پیش از انتشار امضای تشخیص مورد سوءاستفاده قرار گرفتهاند:
- Tenable: 62.5 درصد
- Qualys: 64.5 درصد
- Rapid7: 73.5 درصد
پاسخ Tenable و Qualys: هدف، پوشش همه CVEها نیست
این نتایج با واکنش برخی ارائهدهندگان ابزارهای امنیتی همراه شده است.
- Tenable تأکید میکند همه آسیبپذیریها ریسک یکسانی ندارند و این شرکت روی اولویتبندی ریسکها و داراییهای مهم تمرکز دارد.
- Qualysاعلام کرده است که پوشش CVEها بر اساس ریسک و میزان کاربردپذیری انجام میشود و هدف، پوشش کامل همه موارد نیست.
- Rapid7: در زمان انتشار گزارش پاسخی ارائه نکرده است.
آمادهسازی برای موج اکسپلویتهای مبتنی بر هوش مصنوعی
به گفته Cogent، موضوع توسعه اکسپلویت با هوش مصنوعی مدتهاست مورد توجه تیمهای امنیتی قرار دارد و سازمانها در حال حرکت به سمت مدلهای دفاعی جدید هستند. احتمال فراگیر شدن قابلیتهایی در سطح Mythos نیز این نگرانی را افزایش داده است. در ادامه، مهمترین راهکارها ارائه شده است.
1. فهرست داراییهای نرمافزاری بهعنوان لایه هشدار اولیه
یکی از راهکارهای پیشنهادی، استفاده از تحلیل فهرست داراییهای نرمافزاری بهعنوان لایه هشدار اولیه است. در این رویکرد، سازمانها بررسی میکنند که آیا آسیبپذیریهای جدید بر نرمافزارهای آنها اثر میگذارند یا خیر.
این روش به تیمهای امنیتی اجازه میدهد پیش از شناسایی توسط اسکنرها، فرآیند کاهش ریسک را آغاز کنند. توسعه اکسپلویت با هوش مصنوعی نیاز به این واکنش سریع را افزایش داده است.
2. مسیر تشخیص موازی
Sng توصیه میکند سازمانها یک مسیر تشخیص موازی (Parallel Detection Path) ایجاد کنند که بهجای انتظار برای امضای تشخیص، بر منابع زیر تکیه داشته باشد:
- دادههای فهرست داراییهای نرمافزاری (Software Inventory)
- تطبیق SBOM
- فیدهای هوش تهدید (Threat Intelligence Feeds)
هدف این رویکرد شناسایی سریع داراییهای تحت تأثیر در لحظه انتشار آسیبپذیری است. اسکنرها همچنان ابزار مناسبی برای اعتبارسنجی هستند، اما نباید نقطه شروع واکنش باشند.
3. زمانی که امضای تشخیص وجود ندارد
Cogent توصیه میکند سازمانها بهصورت پیوسته فهرست داراییهای نرمافزاری خود را شناسایی و مدلسازی کنند و بلافاصله پس از انتشار هر آسیبپذیری، آن را با محیط عملیاتی خود تطبیق دهند. در شرایطی که هنوز امضای تشخیص وجود ندارد، این روش مؤثرترین راه برای شناسایی سریع داراییهای آسیبپذیر محسوب میشود.
