«PoCهای جعلی» و آشفتگی ایجاد شده توسط هوش مصنوعی؛ وقتی مدافعان زمین‌گیر می‌شوند!

در ماجرای آسیب‌پذیری React2Shell، نمونه‌های PoCهای جعلی یا ناقص، غیرعملیاتی یا کاملاً سطحی، باعث سردرگمی گسترده و حتی ایجاد یک حس امنیت کاذب شدند. این سؤال حالا جدی‌تر از همیشه مطرح است:
آیا می‌توان جلوی سیل PoCهای بی‌کیفیت و تولیدشده توسط هوش مصنوعی را گرفت؟

تلاش‌ها برای اکسپلویت یک آسیب‌پذیری بحرانی در کتابخانه رابط کاربری React برای اپلیکیشن‌های وب به‌طور محسوسی افزایش یافته است. برخی از این تلاش‌ها حتی قادر به دور زدن قوانین فایروال‌های برنامه‌های وب (WAF) هستند، اما بخش قابل توجهی از آن‌ها چیزی جز «آشغال هوش مصنوعی» نیستند؛ کدهایی که ظاهراً شبیه اکسپلویت‌اند، اما در عمل کار نمی‌کنند.

کارشناسان امنیت سایبری هشدار می‌دهند که هوش مصنوعی مشکل آلودگی اطلاعاتی برای مدافعان را تشدید کرده است؛ به‌ویژه زمانی که خروجی‌های بی‌کیفیت به‌عنوان PoC منتشر می‌شوند. به گفته پاسکال گیننز، مدیر تحلیل تهدید در شرکت امنیت ابری Radware، برخی از این PoCهای «جعلی» به‌طور تأییدشده توسط ابزارهای هوش مصنوعی تولید شده‌اند و می‌توانند توسعه‌دهندگان را به‌شدت گمراه کنند.

به‌عنوان مثال، یکی از PoCها فقط در صورتی کار می‌کرد که مؤلفه‌هایی غیرپیش‌فرض و آسیب‌پذیر به‌طور خاص روی سیستم نصب شده باشند. این موضوع می‌تواند باعث شود توسعه‌دهندگان به‌اشتباه تصور کنند با مسدودسازی همان مؤلفه‌ها، برنامه آن‌ها ایمن است؛ در حالی که آسیب‌پذیری اصلی، یعنی نقص در فرآیند deserialization، همچنان پابرجاست.

مشکل اینجاست که مدافعان ممکن است بگویند: ما اسکن کردیم و همه‌چیز منفی بود، پس امن هستیم. داشتن یک PoC بد—به‌خصوص وقتی بسیار بازدید داشته باشد—پیامدهای زیادی دارد. افراد بر اساس آن اسکنر می‌سازند، به آن اعتماد می‌کنند، محیط‌شان را بررسی می‌کنند و بعد به این نتیجه می‌رسند که آسیب‌پذیر نیستند.

React2Shell؛ بحرانی‌ترین نمونه در عصر کدنویسی هوش مصنوعی

آسیب‌پذیری React2Shell را می‌توان یکی از بحرانی‌ترین مواردی دانست که پس از رواج کدنویسی تولیدشده توسط هوش مصنوعی و پدیده «vibe coding» کشف شده است. وابستگی روزافزون توسعه‌دهندگان به کدهای تولیدشده توسط AI، فقط محدود به برنامه‌نویسان نیست؛ پژوهشگران امنیت و نویسندگان اکسپلویت نیز از همین ابزارها استفاده می‌کنند.

شدت بالای این آسیب‌پذیری—با امتیاز ۱۰ از ۱۰ در CVSS—باعث شد ده‌ها پژوهشگر امنیتی به‌دنبال تولید PoC برای آن باشند. شرکت Trend Micro حدود ۱۴۵ اکسپلویت عمومی مرتبط با React2Shell را شناسایی کرده و اعلام کرده است که بخش عمده‌ای از آن‌ها عملاً موفق به تست آسیب‌پذیری نشده‌اند.

ایان ریپل، هم‌بنیان‌گذار و مدیرعامل Root.io، می‌گوید شتاب‌زدگی در انتشار اکسپلویت‌هایی که به‌وضوح توسط هوش مصنوعی تولید شده‌اند، باعث سردرگمی و تأخیر در شناسایی سیستم‌های واقعاً آسیب‌پذیر شده است.

او توضیح می‌دهد:
«هوش مصنوعی آستانه تولید چیزی که شبیه اکسپلویت به نظر می‌رسد را به‌شدت پایین آورده است. این یعنی نویز بیشتری وارد اکوسیستم می‌شود. نسبت سیگنال به نویز به‌وضوح در حال افت است، و این روی سیستمی سوار شده که از قبل هم مشکل‌دار بوده.»

ضربه‌ای به پژوهش های حوزه متن‌باز با PoCهای جعلی

لاچلان دیویدسون، پژوهشگری که آسیب‌پذیری React2Shell را کشف کرده، به‌شدت از افرادی که کدهای PoCهای جعلی و غیرعملیاتی را به‌عنوان PoC منتشر کرده‌اند انتقاد کرده است. او می‌گوید برخی از این PoCهای نامعتبر حتی در بخش منابع مقالات و تجمیع‌کننده‌های اطلاعات امنیتی قرار گرفته‌اند؛ منابعی که مدافعان معمولاً به آن‌ها اعتماد می‌کنند.

دیویدسون در به‌روزرسانی گزارش اولیه خود نوشت:
«هر چیزی که مستلزم آن باشد که توسعه‌دهنده عمداً قابلیت خطرناکی را در سمت کلاینت در معرض دید قرار دهد، یک PoC معتبر محسوب نمی‌شود.»

او هشدار داد که این وضعیت می‌تواند به خطای منفی (False Negative) در ارزیابی آسیب‌پذیری منجر شود یا سازمان‌ها را برای زمانی که یک PoC واقعی منتشر شود، ناآماده بگذارد.

اما خطر اصلی فقط این نیست که سازمان‌ها فکر کنند آسیب‌پذیر نیستند. به گفته ریپل، خطر بزرگ‌تر این است که تصور کنند چون PoC کار نمی‌کند، زمان بیشتری برای پچ کردن دارند.

یک PoC غیرعملیاتی این تصور را ایجاد می‌کند که اکسپلویت دشوار یا صرفاً تئوریک است. تیم‌های امنیتی اولویت را پایین می‌آورند و سراغ اولویت های دیگر می‌روند، در حالی که یک مهاجم باانگیزه مدت‌هاست از این مرحله عبور کرده است.

در واقع، طبق گفته CJ Moses، مدیر امنیت اطلاعات AWS، گروه‌های تهدید وابسته به چین چند ساعت پس از انتشار اولیه هشدار شروع به حمله به این آسیب‌پذیری کردند.

شکاف واقعی؛ بین کشف و پچ

جو تومی، معاون ارزیابی امنیت در شرکت بیمه سایبری Coalition، می‌گوید انتشار اکسپلویت‌های بی‌کیفیت باعث اتلاف وقت تیم‌های امنیتی و تحلیل‌گران تهدید می‌شود؛ تیم‌هایی که مجبورند PoCهایی را بررسی کنند که یا اصلاً کار نمی‌کنند یا فقط در سناریوهای حاشیه‌ای و ناامن جواب می‌دهند.

او می‌گوید:
«این موضوع حواس را از کارهای حیاتی و زمان‌حساس منحرف می‌کند. احتمالاً این الگو در آسیب‌پذیری‌های پرسر‌وصدای آینده هم تکرار خواهد شد.»

مشکل آلودگی اطلاعاتی پیش از آنکه بهتر شود، بدتر خواهد شد. فشار روی تیم‌های امنیتی باعث می‌شود استفاده از یک PoC سریع—even اگر بی‌کیفیت باشد—وسوسه‌انگیز به نظر برسد.

سازمان‌ها باید به‌جای بحث روی کیفیت PoC، روی رفع مشکلات ساختاری در فرآیند توسعه و پچ تمرکز کنند.

سؤال این نیست که آیا هوش مصنوعی اکسپلویت بد تولید می‌کند یا نه؛ سؤال این است که آیا ما می‌توانیم آسیب‌پذیری‌های واقعی را سریع‌تر از مهاجمان رفع کنیم؟ برای ۹۶٪ سازمان‌ها، پاسخ امروز منفی است.

طبق یک نظرسنجی Root.io، تیم‌های توسعه به‌طور متوسط هر ماه به معادل ۱.۳۱ نیروی تمام‌وقت فقط برای تریاژ، پچ و تست آسیب‌پذیری‌ها نیاز دارند؛ این عدد در سازمان‌های بزرگ‌تر حتی به ۱.۸ نفر می‌رسد.

شکاف واقعی، شکاف بین کشف و اصلاح است؛
شکافی که با بحث درباره PoCها بسته نمی‌شود، بلکه زمانی بسته خواهد شد که سرعت اصلاح، هم‌پای سرعت کشف شود.

منابع: