خانه » توسعه اکسپلویت با هوش مصنوعی؛ هکرها به سمت حملات خودکار حرکت می‌کنند

توسعه اکسپلویت با هوش مصنوعی؛ هکرها به سمت حملات خودکار حرکت می‌کنند

توسط Vulnerbyte_News
168 بازدید

گزارش جدید تیم تحلیل تهدیدات گوگل (GTIG) نشان می‌دهد مهاجمان سایبری اکنون از مدل‌های زبانی بزرگ (LLM) برای توسعه اکسپلویت با هوش مصنوعی، شناسایی آسیب‌پذیری‌ها و خودکارسازی عملیات نفوذ استفاده می‌کنند. این روند نشان می‌دهد توسعه اکسپلویت با هوش مصنوعی دیگر یک سناریوی نظری نیست، بلکه به بخشی از ابزار عملیاتی عوامل تهدید تبدیل شده است و می‌تواند توازن سنتی میان مهاجمان و تیم‌های دفاع سایبری را تغییر دهد.

طبق گزارش گوگل، گروه‌های تهدید به‌ویژه وابسته به چین و کره شمالی از ابزارهای مبتنی بر هوش مصنوعی برای شناسایی آسیب‌پذیری‌ها، تولید PoC، توسعه پیلود و اجرای عملیات شناسایی پیشرفته بهره می‌برند. همچنین گوگل نخستین نمونه احتمالی روز صفر (Zero-Day) که ظاهراً با کمک هوش مصنوعی توسعه یافته را شناسایی کرده است.

استفاده مهاجمان از LLMها برای توسعه اکسپلویت با هوش مصنوعی

نسل جدید LLMها، توان عملیاتی مهاجمان را وارد مرحله‌ای کاملاً متفاوت کرده است. این مدل‌ها دیگر تنها برای تولید ایمیل‌های فیشینگ یا کدنویسی بدافزار استفاده نمی‌شوند، بلکه اکنون در مراحل مختلف چرخه حمله سایبری نقش دارند. بر اساس تحقیقات گوگل، مهاجمان از هوش مصنوعی برای فعالیت‌هایی مانند موارد زیر بهره می‌برند:

  • شناسایی و تحلیل آسیب‌پذیری‌ها
  • توسعه اکسپلویت
  • تولید و اعتبارسنجی PoC
  • خودکارسازی حملات چندمرحله‌ای
  • تحلیل فعالیت کاربران
  • هدایت عملیات نفوذ
  • حفظ پایداری (Persistence)

این روند نشان می‌دهد مهاجمان به‌سرعت در حال استفاده عملیاتی از LLMها برای خودکارسازی و توسعه حملات پیشرفته سایبری هستند.

اولین Zero‑Day با نشانه‌هایی از توسعه با کمک هوش مصنوعی

در یکی از نمونه‌های قابل توجه، گوگل یک آسیب‌پذیری Zero‑Day را شناسایی کرده که احتمالاً با کمک هوش مصنوعی توسعه یافته است. این آسیب‌پذیری در قالب یک اسکریپت Python پیاده‌سازی شده بود که امکان دور زدن احراز هویت دومرحله‌ای (2FA) در یک ابزار متن‌باز مدیریت سیستم مبتنی بر وب را فراهم می‌کرد. مهاجمان برای بهره‌برداری، نیازمند اعتبارنامه معتبر بودند.

گوگل توضیح می‌دهد که اسکریپت شناسایی شده ویژگی‌های زیر را دارد که شبیه خروجی LLMها است:

  • Docstringهای آموزشی بیش از حد
  • فرمت ساختاریافته و استاندارد Pythonic
  • منوهای راهنمای دقیق
  • کلاس‌های مرتب ANSI Color
  • درج امتیاز CVSS جعلی یا غیرواقعی

به گفته تحلیلگران گوگل، این الگوها شباهت زیادی به خروجی LLMها دارند و می‌تواند نشانه‌ای از استفاده غیرمستقیم از LLMها در فرآیند توسعه اکسپلویت با هوش مصنوعی باشد.

چین و کره شمالی در خط مقدم توسعه اکسپلویت با هوش مصنوعی

گزارش گوگل نشان می‌دهد گروه‌های تهدید وابسته به چین و کره شمالی بیشترین علاقه را به استفاده از LLMها برای تحقیقات آسیب‌پذیری و توسعه اکسپلویت دارند.

  • یکی از عاملان تهدید چینی (UNC2814) از مدل Gemini خواست در نقش پژوهشگر امنیت شبکه ظاهر شود و فریم‌ور دستگاه‌های تعبیه‌شده (Embedded devices) مانند تجهیزات TP-Link را برای شناسایی آسیب‌پذیری‌های اجرای کد از راه دور پیش از احراز هویت (Pre-authentication RCE) تحلیل کند.
  • گروه کره شمالی Silent Chollima (APT45) هزاران پرامپت بازگشتی (recursive prompts) برای تحلیل آسیب‌پذیری‌های CVE و اعتبارسنجی PoC ارسال کرده است.

به گفته گوگل این رویکرد به مهاجمان کمک می‌کند محدودیت‌های رایج مدل‌های هوش مصنوعی را دور بزنند و اکسپلویت‌ها و ابزارهای پیچیده‌تر و مؤثرتری طراحی کنند.

پایگاه‌های داده آسیب‌پذیری واقعی در خدمت آموزش مدل‌های مخرب

مهاجمان از مخزن تخصصی wooyun-legacy استفاده کرده‌اند؛ پایگاه داده‌ای شامل بیش از 85 هزار نمونه واقعی آسیب‌پذیری که بین سال‌های 2010 تا 2016 توسط پلتفرم چینی WooYun جمع‌آوری شده بود.

ترکیب این داده‌ها با LLMها می‌تواند فرآیند طراحی و توسعه اکسپلویت را به‌شدت تسریع کند؛ زیرا مدل‌ها با نمونه‌های واقعی اکسپلویت، الگوهای حمله و سناریوهای نفوذ آموزش می‌بینند.

ابزارهای Agentic؛ نسل جدید حملات سایبری خودکار

گوگل در بخش دیگری از گزارش خود به استفاده مهاجمان از ابزارهای Agentic مانند OpenClaw و OneClaw اشاره کرده است. این ابزارها امکان اجرای Workflowهای خودکار یا نیمه‌خودکار را فراهم می‌کنند و می‌توانند بخش‌هایی از عملیات نفوذ را بدون دخالت مستقیم انسان مدیریت کنند.

طبق این گزارش، یک عامل تهدید وابسته به چین از ابزارهایی مانند Hextrike و Strix در حمله به یک شرکت فناوری ژاپنی و یک پلتفرم امنیت سایبری شرق آسیا استفاده کرده است. این ابزارها قابلیت‌هایی مانند موارد زیر را فراهم می‌کنند:

  • خودکارسازی شناسایی شبکه
  • اعتبارسنجی آسیب‌پذیری‌ها
  • حفظ پایداری
  • مدیریت حملات چندمرحله‌ای
  • تحلیل سطح حمله (Attack Surface)

این روند نشان می‌دهد مهاجمان به سمت فریم‌ورک‌های کاملاً AI-Driven حرکت می‌کنند، جایی که عملیات شناسایی و نفوذ با حداقل نظارت انسانی انجام می‌شود.

بدافزار PromptSpy و استفاده عملیاتی از هوش مصنوعی در حملات

یکی دیگر از نمونه‌های مطرح در این گزارش، بدافزار اندرویدی PromptSpy است که نخستین‌بار توسط شرکت امنیتی ESET شناسایی شد. این بکدور از قابلیت‌های Gemini سوءاستفاده می‌کند تا اپلیکیشن مخرب در فهرست برنامه‌های اخیر (Recent Apps) باقی بماند و شناسایی آن دشوارتر شود. توانایی‌های PromptSpy شامل موارد زیر است:

  • تحلیل رابط کاربری اندروید
  • تفسیر فعالیت لحظه‌ای کاربران
  • انتخاب خودکار اقدامات بعدی حمله
  • جمع‌آوری داده‌های بیومتریک
  • شبیه‌سازی ژست‌های احراز هویت

این سطح بالای خودکارسازی نشان می‌دهد که توسعه اکسپلویت با هوش مصنوعی وارد فاز عملیاتی شده است و مهاجمان می‌توانند حملات پیچیده را با حداقل دخالت انسانی اجرا کنند.

تهدید «حملات با سرعت ماشین» برای مدافعان

John Hultquist، تحلیلگر ارشد GTIG، هشدار داده است که مهاجمان با بهره‌گیری از هوش مصنوعی می‌توانند عملیات خود را با سرعتی فراتر از توان واکنش انسانی اجرا کنند.

اگر سازمان‌ها هوش مصنوعی را در دفاع سایبری ادغام نکنند، با حجم عظیمی از هشدارها و رخدادها روبه‌رو خواهند شد، در حالی که مهاجمان می‌توانند سریع‌تر از چرخه مدیریت پچ عمل کرده و به سرعت حرکت جانبی (lateral movement) در شبکه‌ها داشته باشند.

این تحول، نقش انسان را از تصمیم‌گیر اصلی به ناظر عملیات مبتنی بر هوش مصنوعی تغییر داده است؛ جایی که agentهای هوش مصنوعی تصمیمات لحظه‌ای را به‌صورت خودکار اتخاذ می‌کنند و مداخله انسانی تنها در شرایط ضروری انجام می‌شود.

آینده امنیت سایبری در عصر حملات مبتنی بر هوش مصنوعی

گزارش جدید گوگل نشان می‌دهد هوش مصنوعی دیگر صرفاً یک ابزار کمکی برای مهاجمان نیست، بلکه به هسته عملیاتی حملات سایبری تبدیل شده است. رشد استفاده از LLMها، ابزارهای Agentic و پایگاه‌های داده واقعی آسیب‌پذیری نشان می‌دهد که مهاجمان به‌سرعت در حال حرکت به سمت حملات خودکار، مقیاس‌پذیر و پیشرفته هستند.

در این شرایط، سازمان‌ها باید راهبردهای دفاع سایبری خود را حول امنیت مبتنی بر هوش مصنوعی  بازطراحی کنند، زیرا مقابله صرفاً انسانی با تهدیدات ناشی از توسعه اکسپلویت با هوش مصنوعی در آینده‌ای نزدیک به شدت دشوار خواهد شد.

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید