گزارش جدید تیم تحلیل تهدیدات گوگل (GTIG) نشان میدهد مهاجمان سایبری اکنون از مدلهای زبانی بزرگ (LLM) برای توسعه اکسپلویت با هوش مصنوعی، شناسایی آسیبپذیریها و خودکارسازی عملیات نفوذ استفاده میکنند. این روند نشان میدهد توسعه اکسپلویت با هوش مصنوعی دیگر یک سناریوی نظری نیست، بلکه به بخشی از ابزار عملیاتی عوامل تهدید تبدیل شده است و میتواند توازن سنتی میان مهاجمان و تیمهای دفاع سایبری را تغییر دهد.
طبق گزارش گوگل، گروههای تهدید بهویژه وابسته به چین و کره شمالی از ابزارهای مبتنی بر هوش مصنوعی برای شناسایی آسیبپذیریها، تولید PoC، توسعه پیلود و اجرای عملیات شناسایی پیشرفته بهره میبرند. همچنین گوگل نخستین نمونه احتمالی روز صفر (Zero-Day) که ظاهراً با کمک هوش مصنوعی توسعه یافته را شناسایی کرده است.
استفاده مهاجمان از LLMها برای توسعه اکسپلویت با هوش مصنوعی
نسل جدید LLMها، توان عملیاتی مهاجمان را وارد مرحلهای کاملاً متفاوت کرده است. این مدلها دیگر تنها برای تولید ایمیلهای فیشینگ یا کدنویسی بدافزار استفاده نمیشوند، بلکه اکنون در مراحل مختلف چرخه حمله سایبری نقش دارند. بر اساس تحقیقات گوگل، مهاجمان از هوش مصنوعی برای فعالیتهایی مانند موارد زیر بهره میبرند:
- شناسایی و تحلیل آسیبپذیریها
- توسعه اکسپلویت
- تولید و اعتبارسنجی PoC
- خودکارسازی حملات چندمرحلهای
- تحلیل فعالیت کاربران
- هدایت عملیات نفوذ
- حفظ پایداری (Persistence)
این روند نشان میدهد مهاجمان بهسرعت در حال استفاده عملیاتی از LLMها برای خودکارسازی و توسعه حملات پیشرفته سایبری هستند.
اولین Zero‑Day با نشانههایی از توسعه با کمک هوش مصنوعی
در یکی از نمونههای قابل توجه، گوگل یک آسیبپذیری Zero‑Day را شناسایی کرده که احتمالاً با کمک هوش مصنوعی توسعه یافته است. این آسیبپذیری در قالب یک اسکریپت Python پیادهسازی شده بود که امکان دور زدن احراز هویت دومرحلهای (2FA) در یک ابزار متنباز مدیریت سیستم مبتنی بر وب را فراهم میکرد. مهاجمان برای بهرهبرداری، نیازمند اعتبارنامه معتبر بودند.
گوگل توضیح میدهد که اسکریپت شناسایی شده ویژگیهای زیر را دارد که شبیه خروجی LLMها است:
- Docstringهای آموزشی بیش از حد
- فرمت ساختاریافته و استاندارد Pythonic
- منوهای راهنمای دقیق
- کلاسهای مرتب ANSI Color
- درج امتیاز CVSS جعلی یا غیرواقعی
به گفته تحلیلگران گوگل، این الگوها شباهت زیادی به خروجی LLMها دارند و میتواند نشانهای از استفاده غیرمستقیم از LLMها در فرآیند توسعه اکسپلویت با هوش مصنوعی باشد.
چین و کره شمالی در خط مقدم توسعه اکسپلویت با هوش مصنوعی
گزارش گوگل نشان میدهد گروههای تهدید وابسته به چین و کره شمالی بیشترین علاقه را به استفاده از LLMها برای تحقیقات آسیبپذیری و توسعه اکسپلویت دارند.
- یکی از عاملان تهدید چینی (UNC2814) از مدل Gemini خواست در نقش پژوهشگر امنیت شبکه ظاهر شود و فریمور دستگاههای تعبیهشده (Embedded devices) مانند تجهیزات TP-Link را برای شناسایی آسیبپذیریهای اجرای کد از راه دور پیش از احراز هویت (Pre-authentication RCE) تحلیل کند.
- گروه کره شمالی Silent Chollima (APT45) هزاران پرامپت بازگشتی (recursive prompts) برای تحلیل آسیبپذیریهای CVE و اعتبارسنجی PoC ارسال کرده است.
به گفته گوگل این رویکرد به مهاجمان کمک میکند محدودیتهای رایج مدلهای هوش مصنوعی را دور بزنند و اکسپلویتها و ابزارهای پیچیدهتر و مؤثرتری طراحی کنند.
پایگاههای داده آسیبپذیری واقعی در خدمت آموزش مدلهای مخرب
مهاجمان از مخزن تخصصی wooyun-legacy استفاده کردهاند؛ پایگاه دادهای شامل بیش از 85 هزار نمونه واقعی آسیبپذیری که بین سالهای 2010 تا 2016 توسط پلتفرم چینی WooYun جمعآوری شده بود.
ترکیب این دادهها با LLMها میتواند فرآیند طراحی و توسعه اکسپلویت را بهشدت تسریع کند؛ زیرا مدلها با نمونههای واقعی اکسپلویت، الگوهای حمله و سناریوهای نفوذ آموزش میبینند.
ابزارهای Agentic؛ نسل جدید حملات سایبری خودکار
گوگل در بخش دیگری از گزارش خود به استفاده مهاجمان از ابزارهای Agentic مانند OpenClaw و OneClaw اشاره کرده است. این ابزارها امکان اجرای Workflowهای خودکار یا نیمهخودکار را فراهم میکنند و میتوانند بخشهایی از عملیات نفوذ را بدون دخالت مستقیم انسان مدیریت کنند.
طبق این گزارش، یک عامل تهدید وابسته به چین از ابزارهایی مانند Hextrike و Strix در حمله به یک شرکت فناوری ژاپنی و یک پلتفرم امنیت سایبری شرق آسیا استفاده کرده است. این ابزارها قابلیتهایی مانند موارد زیر را فراهم میکنند:
- خودکارسازی شناسایی شبکه
- اعتبارسنجی آسیبپذیریها
- حفظ پایداری
- مدیریت حملات چندمرحلهای
- تحلیل سطح حمله (Attack Surface)
این روند نشان میدهد مهاجمان به سمت فریمورکهای کاملاً AI-Driven حرکت میکنند، جایی که عملیات شناسایی و نفوذ با حداقل نظارت انسانی انجام میشود.
بدافزار PromptSpy و استفاده عملیاتی از هوش مصنوعی در حملات
یکی دیگر از نمونههای مطرح در این گزارش، بدافزار اندرویدی PromptSpy است که نخستینبار توسط شرکت امنیتی ESET شناسایی شد. این بکدور از قابلیتهای Gemini سوءاستفاده میکند تا اپلیکیشن مخرب در فهرست برنامههای اخیر (Recent Apps) باقی بماند و شناسایی آن دشوارتر شود. تواناییهای PromptSpy شامل موارد زیر است:
- تحلیل رابط کاربری اندروید
- تفسیر فعالیت لحظهای کاربران
- انتخاب خودکار اقدامات بعدی حمله
- جمعآوری دادههای بیومتریک
- شبیهسازی ژستهای احراز هویت
این سطح بالای خودکارسازی نشان میدهد که توسعه اکسپلویت با هوش مصنوعی وارد فاز عملیاتی شده است و مهاجمان میتوانند حملات پیچیده را با حداقل دخالت انسانی اجرا کنند.
تهدید «حملات با سرعت ماشین» برای مدافعان
John Hultquist، تحلیلگر ارشد GTIG، هشدار داده است که مهاجمان با بهرهگیری از هوش مصنوعی میتوانند عملیات خود را با سرعتی فراتر از توان واکنش انسانی اجرا کنند.
اگر سازمانها هوش مصنوعی را در دفاع سایبری ادغام نکنند، با حجم عظیمی از هشدارها و رخدادها روبهرو خواهند شد، در حالی که مهاجمان میتوانند سریعتر از چرخه مدیریت پچ عمل کرده و به سرعت حرکت جانبی (lateral movement) در شبکهها داشته باشند.
این تحول، نقش انسان را از تصمیمگیر اصلی به ناظر عملیات مبتنی بر هوش مصنوعی تغییر داده است؛ جایی که agentهای هوش مصنوعی تصمیمات لحظهای را بهصورت خودکار اتخاذ میکنند و مداخله انسانی تنها در شرایط ضروری انجام میشود.
آینده امنیت سایبری در عصر حملات مبتنی بر هوش مصنوعی
گزارش جدید گوگل نشان میدهد هوش مصنوعی دیگر صرفاً یک ابزار کمکی برای مهاجمان نیست، بلکه به هسته عملیاتی حملات سایبری تبدیل شده است. رشد استفاده از LLMها، ابزارهای Agentic و پایگاههای داده واقعی آسیبپذیری نشان میدهد که مهاجمان بهسرعت در حال حرکت به سمت حملات خودکار، مقیاسپذیر و پیشرفته هستند.
در این شرایط، سازمانها باید راهبردهای دفاع سایبری خود را حول امنیت مبتنی بر هوش مصنوعی بازطراحی کنند، زیرا مقابله صرفاً انسانی با تهدیدات ناشی از توسعه اکسپلویت با هوش مصنوعی در آیندهای نزدیک به شدت دشوار خواهد شد.