چگونه مدافعان، اولین اکسپلویت روز صفر توسعهیافته توسط هوش مصنوعی را پیش از حمله خنثی کردند
زمانی که یک گروه جرایم سایبری از یک مدل هوش مصنوعی برای نوشتن یک اکسپلویت نرمافزاری جدید استفاده کرد، شکارچیان تهدید گوگل این کد را پیش از آنکه مستقر شود، رهگیری کردند. این رویداد نگاهی نادر به چگونگی متحول شدن هک تهاجمی و امنیت سایبری دفاعی توسط هوش مصنوعی ارائه میدهد.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- مدافعان امنیت سایبری
- تحلیلگران امنیتی متمرکز بر استفاده از هوش مصنوعی برای پیشی گرفتن از تهدیدات تهاجمی.
- رهبران فناوری اطلاعات سازمانی
- مدیران اجرایی فناوری شرکتها که تابآوری زیرساخت و مدیریت ریسک را در اولویت قرار میدهند.
- محققان ایمنی هوش مصنوعی
- کارشناسانی که قابلیتها و خطرات مدلهای پیشرفته هوش مصنوعی را مطالعه میکنند.
زوایای پوششدادهنشده
- · نگهدارندگان نرمافزار متنباز
- · شکارچیان مستقل پاداش باگ
چرا مهم است
از آنجایی که هوش مصنوعی موانع ورود برای کشف آسیبپذیریهای نرمافزاری را کاهش میدهد، سرعت حملات سایبری در حال افزایش است. درک نحوه عملکرد این تهدیدات تولید شده توسط ماشین—و اینکه چگونه مدافعان از همان فناوری برای متوقف کردن آنها استفاده میکنند—برای سازمانهایی که در حال پیمایش نسل بعدی امنیت دیجیتال هستند، حیاتی است.
نکات کلیدی
- گوگل اولین اکسپلویت روز صفر توسعهیافته توسط هوش مصنوعی را پیش از آنکه در یک حمله گسترده استفاده شود، رهگیری کرد.
- مدل هوش مصنوعی یک نقص منطقی را کشف کرد که به مهاجمان اجازه میداد احراز هویت دو مرحلهای را دور بزنند.
- نشانگرهای پزشکی قانونی مانند امتیازات آسیبپذیری توهمی و قالببندی کتابدرسی، دخالت هوش مصنوعی را آشکار کردند.
- این حادثه ثابت میکند که هوش مصنوعی دفاعی و شکار فعال تهدید میتوانند با موفقیت از حملات خودکار پیشی بگیرند.
در ماه مه ۲۰۲۶، صنعت امنیت سایبری از یک آستانه مورد انتظار عبور کرد: اولین نمونه تأیید شده از یک اکسپلویت روز صفر که به طور کامل توسط هوش مصنوعی نوشته شده بود.[1][2]
اما مهمترین بخش این داستان، خود حمله نیست—بلکه این واقعیت است که حمله هرگز رخ نداد. گروه اطلاعات تهدید گوگل (GTIG) کد مخرب را پیش از آنکه یک سندیکای برجسته جرایم سایبری بتواند کمپین بهرهبرداری گسترده برنامهریزی شده خود را آغاز کند، رهگیری کرد.[2][9]
این رویداد اولین طرح عمومی را از نحوه عملکرد واقعی جنگ سایبری مبتنی بر هوش مصنوعی در دنیای واقعی ارائه میدهد. به جای یک سناریوی آخرالزمانی از هکرهای ماشینی غیرقابل توقف، این حادثه یک مسابقه شطرنج با سرعت بالا را نشان داد که در آن هوش مصنوعی دفاعی و شکارچیان تهدید انسانی با موفقیت از همتایان تهاجمی خود پیشی گرفتند.[4]
برای درک نحوه عملکرد این اکسپلویت، بهتر است بدانیم «روز صفر» (Zero-Day) دقیقاً چیست. آسیبپذیری روز صفر یک نقص نرمافزاری است که برای فروشنده ناشناخته است، به این معنی که صفر روز از زمان در دسترس قرار گرفتن یک وصله گذشته است. از لحاظ تاریخی، یافتن این نقصها مستلزم صرف ماهها زمان توسط محققان نخبه انسانی برای مهندسی معکوس کد بود.[5]
مدل هوش مصنوعی این معادله را تغییر داد. بر اساس تحلیل پزشکی قانونی GTIG، مهاجمان از یک مدل زبان بزرگ (LLM) خواستند تا کد منبع یک ابزار محبوب مدیریت سیستم مبتنی بر وب و متنباز را تجزیه و تحلیل کند.[1][6]
این مدل فقط به دنبال خرابیهای ساده حافظه یا اشتباهات تایپی کدنویسی نبود. در عوض، استدلال زمینهای (Contextual Reasoning) را نشان داد و منطق زیربنایی جریان احراز هویت برنامه را تجزیه و تحلیل کرد. این مدل با موفقیت یک فرض اعتماد معیوب را که عمیقاً در کد پنهن شده بود، کشف کرد.[6]
با مسلح شدن به این بینش، هوش مصنوعی یک اسکریپت پایتون کاربردی تولید کرد که برای بهرهبرداری از نقص منطقی طراحی شده بود. این اسکریپت به مهاجمی که دارای اعتبارنامه ورود اولیه بود، اجازه میداد تا به طور کامل از حفاظتهای احراز هویت دو مرحلهای (2FA) سیستم عبور کند.[1][6]
با مسلح شدن به این بینش، هوش مصنوعی یک اسکریپت پایتون کاربردی تولید کرد که برای بهرهبرداری از نقص منطقی طراحی شده بود.
با این حال، دخالت هوش مصنوعی در نهایت به نقطه ضعف آن تبدیل شد. هنگامی که تحلیلگران GTIG اکسپلویت را رهگیری کردند، چندین ناهنجاری آشکار را مشاهده کردند که مستقیماً به نویسندگی ماشینی اشاره داشت. کد به سادگی بیش از حد تمیز، بیش از حد آموزشی و بیش از حد ساختاریافته بود که توسط یک هکر انسانی که سعی در پنهان ماندن دارد، نوشته شده باشد.[2][5]
این اسکریپت مملو از «رشتههای مستندسازی آموزشی» (educational docstrings) بود—توضیحات مفصل و کتابدرسیمانندی درباره کاری که کد انجام میداد، که مشخصه دادههای آموزشی مورد استفاده برای آموزش برنامهنویسی به مدلها است. مهمتر از همه، هوش مصنوعی یک معیار سیستم امتیازدهی آسیبپذیری مشترک (CVSS) را «توهم» زده بود و امتیازی را برای آسیبپذیریای تعیین کرده بود که هنوز رسماً وجود نداشت.[1][5]
این اثر انگشتهای پزشکی قانونی به گوگل اجازه داد تا منشأ هوش مصنوعی اکسپلویت را تأیید کند و به سرعت با فروشنده نرمافزار آسیبدیده هماهنگی کند. یک وصله توسعه داده شد و قبل از اینکه گروه جرایم سایبری بتواند رویداد بهرهبرداری گسترده خود را اجرا کند، مستقر شد و تهدید را به طور کامل خنثی کرد.[2][9]
در حالی که این حمله خاص خنثی شد، این حادثه یک تغییر اساسی در چشمانداز امنیت سایبری را برجسته میکند: فشردهسازی سرعت. چرخه سنتی واکنش به حادثه—کشف، اولویتبندی، مهار، ریشهکن کردن—متکی بر یک پنجره زمانی بین کشف یک آسیبپذیری و تبدیل شدن یک اکسپلویت به سلاح در مقیاس بزرگ است.[5]
هوش مصنوعی این پنجره را به شدت فشرده میکند. دادههای اخیر صنعت بر این شتاب تأکید دارند. گزارش تهدید جهانی ۲۰۲۶ کروداسترایک (CrowdStrike) افزایش ۸۹ درصدی فعالیتهای خصمانه مبتنی بر هوش مصنوعی را نسبت به سال قبل نشان داد، در حالی که میانگین «زمان گریز» (breakout time)—مدت زمانی که طول میکشد تا یک مهاجم پس از نفوذ اولیه به صورت جانبی حرکت کند—به تنها ۲۹ دقیقه کاهش یافته است.[5]
رونالد لوئیس، رئیس حاکمیت امنیت سایبری در بلک داک (Black Duck)، خاطرنشان کرد: «این نشاندهنده تغییر از کشف آسیبپذیری با سرعت انسانی به تبدیل آن به سلاح در مقیاس ماشینی است.» نگرانی این است که اکسپلویتهای تولید شده توسط هوش مصنوعی در آینده فاقد رشتههای مستندسازی آشکار و معیارهای توهمی باشند که این مورد خاص را لو دادند.[7][8]
با این حال، همان فناوریای که جدول زمانی حمله را فشرده میکند، دفاع را نیز تقویت مینماید. هوش مصنوعی ذاتاً یک سلاح تهاجمی نیست؛ بلکه یک شتابدهنده است. به ازای هر عامل تهدیدی که از یک مدل برای اسکن آسیبپذیریها استفاده میکند، تیمهای امنیتی سازمانی نیز از عوامل هوش مصنوعی تخصصی برای ممیزی پایگاههای کد خود، مهندسی معکوس وصلهها و استقرار خودکار اصلاحات استفاده میکنند.[8]
رهگیری موفقیتآمیز گوگل ثابت میکند که دید دفاعی و شکار فعال تهدید همچنان میتواند از تولید خودکار اکسپلویت پیشی بگیرد. با ادغام هوش مصنوعی در خطوط لوله تشخیص خود، مدافعان میتوانند منطق ناهنجار و الگوهای ساختاری کد را سریعتر از آنچه تحلیلگران انسانی میتوانستند، شناسایی کنند.[9]

در نهایت، اولین اکسپلویت روز صفر توسعهیافته توسط هوش مصنوعی، داستانی از انعطافپذیری است. این تأیید میکند که در حالی که ابزارهای جنگ سایبری در حال تکامل هستند، اصول اساسی امنیت—وصله سریع، تشخیص رفتاری و اطلاعات تهدید فعال—هنگامی که توسط همان هوش مصنوعی که حملات را تقویت میکند، تقویت شوند، همچنان بسیار مؤثر باقی میمانند.[4][8]
روند رویداد
اواخر ۲۰۲۴
عامل هوش مصنوعی «بیگ اسلیپ» گوگل با موفقیت یک آسیبپذیری روز صفر را در یک محیط تحقیقاتی کنترلشده کشف میکند.
اوایل ۲۰۲۶
محققان امنیتی تصرف کمتر از هشت دقیقهای فضای ابری AWS را با استفاده از اتوماسیون هوش مصنوعی نشان میدهند.
۱۱ مه ۲۰۲۶
گروه اطلاعات تهدید گوگل شواهدی از اولین اکسپلویت روز صفر توسعهیافته توسط هوش مصنوعی که در دنیای واقعی کشف شده است، منتشر میکند.
مه ۲۰۲۶
فروشنده متنباز آسیبدیده پیش از آنکه گروه جرایم سایبری بتواند کمپین بهرهبرداری گسترده خود را اجرا کند، یک وصله منتشر میکند.
بررسی عمیق دیدگاهها
مدافعان امنیت سایبری
تحلیلگران امنیتی متمرکز بر استفاده از هوش مصنوعی برای پیشی گرفتن از تهدیدات تهاجمی.
برای مدافعان خط مقدم، رهگیری این روز صفر تأییدی بر شکار فعال تهدید است. در حالی که هوش مصنوعی موانع کشف آسیبپذیریها را برای مهاجمان کاهش میدهد، مدافعان استدلال میکنند که یک مزیت ساختاری دارند: دید کامل نسبت به محیطهای خود. با ادغام عوامل هوش مصنوعی در خطوط لوله تشخیص خود، تیمهای امنیتی میتوانند پایگاههای کد را اسکن کنند، ناهنجاریهای رفتاری را تجزیه و تحلیل کنند و وصلهها را به صورت خودکار مستقر کنند و اکسپلویتهای تولید شده توسط هوش مصنوعی را پیش از تبدیل شدن به سلاح در مقیاس بزرگ، خنثی سازند.
رهبران فناوری اطلاعات سازمانی
مدیران اجرایی فناوری شرکتها که تابآوری زیرساخت و مدیریت ریسک را در اولویت قرار میدهند.
رهبران سازمانی این حادثه را به عنوان یک هشدار جدی در مورد «فشردهسازی سرعت» در چرخه واکنش به حادثه میبینند. با شتاب دادن هوش مصنوعی به زمان بین کشف آسیبپذیری و بهرهبرداری گسترده، مدیریت وصله سنتی دیگر کافی نیست. این گروه بر نیاز به کاهش قرار گرفتن در معرض اینترنت، پیادهسازی معماریهای «اعتماد صفر» (Zero-Trust) و فرض اینکه دستگاههای لبه شبکه به محض کشف نقص جدید با حملات تقریباً آنی مواجه خواهند شد، تأکید دارند.
محققان ایمنی هوش مصنوعی
کارشناسانی که قابلیتها و خطرات مدلهای پیشرفته هوش مصنوعی را مطالعه میکنند.
محققان ایمنی به این اکسپلویت به عنوان شاهدی اشاره میکنند که مدلهای زبان بزرگ در حال عبور از یک آستانه حیاتی در قابلیتهای استدلالی هستند. هوش مصنوعی فقط یک خطای ساده حافظه پیدا نکرد؛ بلکه منطق زمینهای جریان احراز هویت را درک کرد و یک فرض اعتماد معیوب را شناسایی نمود. این گروه از موانع حفاظتی قویتر پیش از استقرار، گزارشدهی اجباری آسیبپذیریها برای آزمایشگاههای هوش مصنوعی، و دسترسی محدود به مدلهایی که قادر به تولید اکسپلویت خودکار هستند، حمایت میکند.
آنچه نمیدانیم
- گروه جرایم سایبری از کدام مدل زبان بزرگ خاص برای تولید اکسپلویت استفاده کرده است.
- نام ابزار محبوب مدیریت سیستم متنباز که هدف قرار گرفته بود.
- آیا عاملان تهدید موفق شدهاند اکسپلویتهای تولید شده توسط هوش مصنوعی دیگری را مستقر کنند که فاقد اثر انگشتهای پزشکی قانونی آشکار بودهاند.
اصطلاحات کلیدی
- اکسپلویت روز صفر
- یک حمله سایبری که از یک آسیبپذیری نرمافزاری ناشناخته برای فروشنده سوء استفاده میکند، به این معنی که توسعهدهندگان «صفر روز» فرصت برای ایجاد وصله داشتهاند.
- احراز هویت دو مرحلهای (2FA)
- یک سیستم امنیتی که برای دسترسی به یک حساب کاربری به دو شکل متمایز شناسایی نیاز دارد، معمولاً یک رمز عبور و یک کد ارسال شده به دستگاه تلفن همراه.
- امتیاز CVSS
- سیستم امتیازدهی آسیبپذیری مشترک، یک معیار استاندارد صنعتی است که برای ارزیابی شدت آسیبپذیریهای امنیتی سیستمهای رایانهای استفاده میشود.
- داکاسترینگ (Docstring)
- یک رشته متنی مشخص شده در کد منبع که برای مستندسازی یک بخش خاص از کد استفاده میشود و اغلب در مثالهای برنامهنویسی آموزشی به شدت به کار میرود.
- نقص منطقی
- یک اشکال در نرمافزار که در آن کد دقیقاً مطابق با آنچه نوشته شده عمل میکند، اما طراحی یا فرض زیربنایی آن معیوب است و به مهاجمان اجازه میدهد قوانین مورد نظر را دور بزنند.
پرسشهای متداول
آیا هوش مصنوعی به تنهایی حمله را آغاز کرد؟
خیر. یک سندیکای جرایم سایبری انسانی از یک مدل زبان بزرگ به عنوان ابزاری برای تجزیه و تحلیل کد و نوشتن اسکریپت اکسپلویت استفاده کرد، اما انسانها کمپین بهرهبرداری گسترده را برنامهریزی کردند.
کدام مدل هوش مصنوعی برای نوشتن اکسپلویت استفاده شد؟
گوگل مدل خاصی را که توسط مهاجمان استفاده شده، علناً شناسایی نکرده است، اگرچه تأیید کردند که این مدل نه جِمینای (Gemini) خودشان بوده و نه میتوس (Mythos) شرکت آنتروپیک.
آیا دادههای کسی در این حادثه به خطر افتاد؟
خیر. گروه اطلاعات تهدید گوگل اکسپلویت را رهگیری کرد و با فروشنده همکاری کرد تا آسیبپذیری را پیش از آنکه مهاجمان بتوانند کمپین خود را آغاز کنند، وصله کند.
گوگل چگونه متوجه شد که کد توسط هوش مصنوعی نوشته شده است؟
اسکریپت اکسپلویت حاوی نشانگرهای پزشکی قانونی متمایزی بود، از جمله نظرات کد بیش از حد آموزشی، قالببندی کتابدرسی که معمول دادههای آموزشی هوش مصنوعی است، و یک امتیاز شدت آسیبپذیری ساختگی.
منابع
[1]PCMagمدافعان امنیت سایبری
Google Uncovers First AI-Developed Zero-Day Exploit
مطالعه در PCMag →[2]CyberScoopمدافعان امنیت سایبری
Google spotted an AI-developed zero-day before attackers could use it
مطالعه در CyberScoop →[3]OpenVPNمحققان ایمنی هوش مصنوعی
Google identifies the first AI-developed zero-day used in mass exploitation
مطالعه در OpenVPN →[4]Cloud Security Allianceرهبران فناوری اطلاعات سازمانی
First Criminal AI Zero-Day: Mass Exploitation Risk Confirmed
مطالعه در Cloud Security Alliance →[5]Kiteworksرهبران فناوری اطلاعات سازمانی
Google's GTIG confirmed the first AI-crafted zero-day exploit in the wild
مطالعه در Kiteworks →[6]CSO Onlineمدافعان امنیت سایبری
Google GTIG releases evidence of AI-crafted zero-day exploit
مطالعه در CSO Online →[7]SC Mediaمحققان ایمنی هوش مصنوعی
First known AI-created zero-day exploit found in the wild
مطالعه در SC Media →[8]IANS Researchرهبران فناوری اطلاعات سازمانی
Google Detects First AI-Generated Zero-Day Exploit in Active Campaign
مطالعه در IANS Research →[9]Cybersecurity Diveمدافعان امنیت سایبری
Threat actors leverage AI for zero-day exploit, GTIG says
مطالعه در Cybersecurity Dive →
هر زاویه. هر روز.
دریافت هوش مصنوعی اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.













