دفاع سایبریتوضیح و تحلیلJul 13, 2026, 6:20 PM· 5 دقیقه مطالعه· #2 از 4 در هوش مصنوعی

چگونه مدافعان، اولین اکسپلویت روز صفر توسعه‌یافته توسط هوش مصنوعی را پیش از حمله خنثی کردند

زمانی که یک گروه جرایم سایبری از یک مدل هوش مصنوعی برای نوشتن یک اکسپلویت نرم‌افزاری جدید استفاده کرد، شکارچیان تهدید گوگل این کد را پیش از آنکه مستقر شود، رهگیری کردند. این رویداد نگاهی نادر به چگونگی متحول شدن هک تهاجمی و امنیت سایبری دفاعی توسط هوش مصنوعی ارائه می‌دهد.

به قلم تیم سردبیری کوهستان

مدافعان امنیت سایبری 40%رهبران فناوری اطلاعات سازمانی 35%محققان ایمنی هوش مصنوعی 25%
مدافعان امنیت سایبری
تحلیلگران امنیتی متمرکز بر استفاده از هوش مصنوعی برای پیشی گرفتن از تهدیدات تهاجمی.
رهبران فناوری اطلاعات سازمانی
مدیران اجرایی فناوری شرکت‌ها که تاب‌آوری زیرساخت و مدیریت ریسک را در اولویت قرار می‌دهند.
محققان ایمنی هوش مصنوعی
کارشناسانی که قابلیت‌ها و خطرات مدل‌های پیشرفته هوش مصنوعی را مطالعه می‌کنند.

زوایای پوشش‌داده‌نشده

  • · نگه‌دارندگان نرم‌افزار متن‌باز
  • · شکارچیان مستقل پاداش باگ

چرا مهم است

از آنجایی که هوش مصنوعی موانع ورود برای کشف آسیب‌پذیری‌های نرم‌افزاری را کاهش می‌دهد، سرعت حملات سایبری در حال افزایش است. درک نحوه عملکرد این تهدیدات تولید شده توسط ماشین—و اینکه چگونه مدافعان از همان فناوری برای متوقف کردن آنها استفاده می‌کنند—برای سازمان‌هایی که در حال پیمایش نسل بعدی امنیت دیجیتال هستند، حیاتی است.

نکات کلیدی

  • گوگل اولین اکسپلویت روز صفر توسعه‌یافته توسط هوش مصنوعی را پیش از آنکه در یک حمله گسترده استفاده شود، رهگیری کرد.
  • مدل هوش مصنوعی یک نقص منطقی را کشف کرد که به مهاجمان اجازه می‌داد احراز هویت دو مرحله‌ای را دور بزنند.
  • نشانگرهای پزشکی قانونی مانند امتیازات آسیب‌پذیری توهمی و قالب‌بندی کتاب‌درسی، دخالت هوش مصنوعی را آشکار کردند.
  • این حادثه ثابت می‌کند که هوش مصنوعی دفاعی و شکار فعال تهدید می‌توانند با موفقیت از حملات خودکار پیشی بگیرند.
89%
افزایش فعالیت خصمانه مبتنی بر هوش مصنوعی
42%
افزایش اکسپلویت‌های روز صفر نسبت به سال قبل
29 mins
میانگین زمان گریز جرایم الکترونیکی

در ماه مه ۲۰۲۶، صنعت امنیت سایبری از یک آستانه مورد انتظار عبور کرد: اولین نمونه تأیید شده از یک اکسپلویت روز صفر که به طور کامل توسط هوش مصنوعی نوشته شده بود.[1][2]

اما مهم‌ترین بخش این داستان، خود حمله نیست—بلکه این واقعیت است که حمله هرگز رخ نداد. گروه اطلاعات تهدید گوگل (GTIG) کد مخرب را پیش از آنکه یک سندیکای برجسته جرایم سایبری بتواند کمپین بهره‌برداری گسترده برنامه‌ریزی شده خود را آغاز کند، رهگیری کرد.[2][9]

این رویداد اولین طرح عمومی را از نحوه عملکرد واقعی جنگ سایبری مبتنی بر هوش مصنوعی در دنیای واقعی ارائه می‌دهد. به جای یک سناریوی آخرالزمانی از هکرهای ماشینی غیرقابل توقف، این حادثه یک مسابقه شطرنج با سرعت بالا را نشان داد که در آن هوش مصنوعی دفاعی و شکارچیان تهدید انسانی با موفقیت از همتایان تهاجمی خود پیشی گرفتند.[4]

برای درک نحوه عملکرد این اکسپلویت، بهتر است بدانیم «روز صفر» (Zero-Day) دقیقاً چیست. آسیب‌پذیری روز صفر یک نقص نرم‌افزاری است که برای فروشنده ناشناخته است، به این معنی که صفر روز از زمان در دسترس قرار گرفتن یک وصله گذشته است. از لحاظ تاریخی، یافتن این نقص‌ها مستلزم صرف ماه‌ها زمان توسط محققان نخبه انسانی برای مهندسی معکوس کد بود.[5]

مدل هوش مصنوعی این معادله را تغییر داد. بر اساس تحلیل پزشکی قانونی GTIG، مهاجمان از یک مدل زبان بزرگ (LLM) خواستند تا کد منبع یک ابزار محبوب مدیریت سیستم مبتنی بر وب و متن‌باز را تجزیه و تحلیل کند.[1][6]

این مدل فقط به دنبال خرابی‌های ساده حافظه یا اشتباهات تایپی کدنویسی نبود. در عوض، استدلال زمینه‌ای (Contextual Reasoning) را نشان داد و منطق زیربنایی جریان احراز هویت برنامه را تجزیه و تحلیل کرد. این مدل با موفقیت یک فرض اعتماد معیوب را که عمیقاً در کد پنهن شده بود، کشف کرد.[6]

با مسلح شدن به این بینش، هوش مصنوعی یک اسکریپت پایتون کاربردی تولید کرد که برای بهره‌برداری از نقص منطقی طراحی شده بود. این اسکریپت به مهاجمی که دارای اعتبارنامه ورود اولیه بود، اجازه می‌داد تا به طور کامل از حفاظت‌های احراز هویت دو مرحله‌ای (2FA) سیستم عبور کند.[1][6]

با مسلح شدن به این بینش، هوش مصنوعی یک اسکریپت پایتون کاربردی تولید کرد که برای بهره‌برداری از نقص منطقی طراحی شده بود.

با این حال، دخالت هوش مصنوعی در نهایت به نقطه ضعف آن تبدیل شد. هنگامی که تحلیلگران GTIG اکسپلویت را رهگیری کردند، چندین ناهنجاری آشکار را مشاهده کردند که مستقیماً به نویسندگی ماشینی اشاره داشت. کد به سادگی بیش از حد تمیز، بیش از حد آموزشی و بیش از حد ساختاریافته بود که توسط یک هکر انسانی که سعی در پنهان ماندن دارد، نوشته شده باشد.[2][5]

این اسکریپت مملو از «رشته‌های مستندسازی آموزشی» (educational docstrings) بود—توضیحات مفصل و کتاب‌درسی‌مانندی درباره کاری که کد انجام می‌داد، که مشخصه داده‌های آموزشی مورد استفاده برای آموزش برنامه‌نویسی به مدل‌ها است. مهم‌تر از همه، هوش مصنوعی یک معیار سیستم امتیازدهی آسیب‌پذیری مشترک (CVSS) را «توهم» زده بود و امتیازی را برای آسیب‌پذیری‌ای تعیین کرده بود که هنوز رسماً وجود نداشت.[1][5]

این اثر انگشت‌های پزشکی قانونی به گوگل اجازه داد تا منشأ هوش مصنوعی اکسپلویت را تأیید کند و به سرعت با فروشنده نرم‌افزار آسیب‌دیده هماهنگی کند. یک وصله توسعه داده شد و قبل از اینکه گروه جرایم سایبری بتواند رویداد بهره‌برداری گسترده خود را اجرا کند، مستقر شد و تهدید را به طور کامل خنثی کرد.[2][9]

در حالی که این حمله خاص خنثی شد، این حادثه یک تغییر اساسی در چشم‌انداز امنیت سایبری را برجسته می‌کند: فشرده‌سازی سرعت. چرخه سنتی واکنش به حادثه—کشف، اولویت‌بندی، مهار، ریشه‌کن کردن—متکی بر یک پنجره زمانی بین کشف یک آسیب‌پذیری و تبدیل شدن یک اکسپلویت به سلاح در مقیاس بزرگ است.[5]

هوش مصنوعی این پنجره را به شدت فشرده می‌کند. داده‌های اخیر صنعت بر این شتاب تأکید دارند. گزارش تهدید جهانی ۲۰۲۶ کروداسترایک (CrowdStrike) افزایش ۸۹ درصدی فعالیت‌های خصمانه مبتنی بر هوش مصنوعی را نسبت به سال قبل نشان داد، در حالی که میانگین «زمان گریز» (breakout time)—مدت زمانی که طول می‌کشد تا یک مهاجم پس از نفوذ اولیه به صورت جانبی حرکت کند—به تنها ۲۹ دقیقه کاهش یافته است.[5]

رونالد لوئیس، رئیس حاکمیت امنیت سایبری در بلک داک (Black Duck)، خاطرنشان کرد: «این نشان‌دهنده تغییر از کشف آسیب‌پذیری با سرعت انسانی به تبدیل آن به سلاح در مقیاس ماشینی است.» نگرانی این است که اکسپلویت‌های تولید شده توسط هوش مصنوعی در آینده فاقد رشته‌های مستندسازی آشکار و معیارهای توهمی باشند که این مورد خاص را لو دادند.[7][8]

با این حال، همان فناوری‌ای که جدول زمانی حمله را فشرده می‌کند، دفاع را نیز تقویت می‌نماید. هوش مصنوعی ذاتاً یک سلاح تهاجمی نیست؛ بلکه یک شتاب‌دهنده است. به ازای هر عامل تهدیدی که از یک مدل برای اسکن آسیب‌پذیری‌ها استفاده می‌کند، تیم‌های امنیتی سازمانی نیز از عوامل هوش مصنوعی تخصصی برای ممیزی پایگاه‌های کد خود، مهندسی معکوس وصله‌ها و استقرار خودکار اصلاحات استفاده می‌کنند.[8]

رهگیری موفقیت‌آمیز گوگل ثابت می‌کند که دید دفاعی و شکار فعال تهدید همچنان می‌تواند از تولید خودکار اکسپلویت پیشی بگیرد. با ادغام هوش مصنوعی در خطوط لوله تشخیص خود، مدافعان می‌توانند منطق ناهنجار و الگوهای ساختاری کد را سریع‌تر از آنچه تحلیلگران انسانی می‌توانستند، شناسایی کنند.[9]

مدافعان به طور فزاینده‌ای از هوش مصنوعی برای ممیزی پایگاه‌های کد و استقرار خودکار وصله‌ها استفاده می‌کنند.
مدافعان به طور فزاینده‌ای از هوش مصنوعی برای ممیزی پایگاه‌های کد و استقرار خودکار وصله‌ها استفاده می‌کنند.

در نهایت، اولین اکسپلویت روز صفر توسعه‌یافته توسط هوش مصنوعی، داستانی از انعطاف‌پذیری است. این تأیید می‌کند که در حالی که ابزارهای جنگ سایبری در حال تکامل هستند، اصول اساسی امنیت—وصله سریع، تشخیص رفتاری و اطلاعات تهدید فعال—هنگامی که توسط همان هوش مصنوعی که حملات را تقویت می‌کند، تقویت شوند، همچنان بسیار مؤثر باقی می‌مانند.[4][8]

روند رویداد

  1. اواخر ۲۰۲۴

    عامل هوش مصنوعی «بیگ اسلیپ» گوگل با موفقیت یک آسیب‌پذیری روز صفر را در یک محیط تحقیقاتی کنترل‌شده کشف می‌کند.

  2. اوایل ۲۰۲۶

    محققان امنیتی تصرف کمتر از هشت دقیقه‌ای فضای ابری AWS را با استفاده از اتوماسیون هوش مصنوعی نشان می‌دهند.

  3. ۱۱ مه ۲۰۲۶

    گروه اطلاعات تهدید گوگل شواهدی از اولین اکسپلویت روز صفر توسعه‌یافته توسط هوش مصنوعی که در دنیای واقعی کشف شده است، منتشر می‌کند.

  4. مه ۲۰۲۶

    فروشنده متن‌باز آسیب‌دیده پیش از آنکه گروه جرایم سایبری بتواند کمپین بهره‌برداری گسترده خود را اجرا کند، یک وصله منتشر می‌کند.

بررسی عمیق دیدگاه‌ها

مدافعان امنیت سایبری

تحلیلگران امنیتی متمرکز بر استفاده از هوش مصنوعی برای پیشی گرفتن از تهدیدات تهاجمی.

برای مدافعان خط مقدم، رهگیری این روز صفر تأییدی بر شکار فعال تهدید است. در حالی که هوش مصنوعی موانع کشف آسیب‌پذیری‌ها را برای مهاجمان کاهش می‌دهد، مدافعان استدلال می‌کنند که یک مزیت ساختاری دارند: دید کامل نسبت به محیط‌های خود. با ادغام عوامل هوش مصنوعی در خطوط لوله تشخیص خود، تیم‌های امنیتی می‌توانند پایگاه‌های کد را اسکن کنند، ناهنجاری‌های رفتاری را تجزیه و تحلیل کنند و وصله‌ها را به صورت خودکار مستقر کنند و اکسپلویت‌های تولید شده توسط هوش مصنوعی را پیش از تبدیل شدن به سلاح در مقیاس بزرگ، خنثی سازند.

رهبران فناوری اطلاعات سازمانی

مدیران اجرایی فناوری شرکت‌ها که تاب‌آوری زیرساخت و مدیریت ریسک را در اولویت قرار می‌دهند.

رهبران سازمانی این حادثه را به عنوان یک هشدار جدی در مورد «فشرده‌سازی سرعت» در چرخه واکنش به حادثه می‌بینند. با شتاب دادن هوش مصنوعی به زمان بین کشف آسیب‌پذیری و بهره‌برداری گسترده، مدیریت وصله سنتی دیگر کافی نیست. این گروه بر نیاز به کاهش قرار گرفتن در معرض اینترنت، پیاده‌سازی معماری‌های «اعتماد صفر» (Zero-Trust) و فرض اینکه دستگاه‌های لبه شبکه به محض کشف نقص جدید با حملات تقریباً آنی مواجه خواهند شد، تأکید دارند.

محققان ایمنی هوش مصنوعی

کارشناسانی که قابلیت‌ها و خطرات مدل‌های پیشرفته هوش مصنوعی را مطالعه می‌کنند.

محققان ایمنی به این اکسپلویت به عنوان شاهدی اشاره می‌کنند که مدل‌های زبان بزرگ در حال عبور از یک آستانه حیاتی در قابلیت‌های استدلالی هستند. هوش مصنوعی فقط یک خطای ساده حافظه پیدا نکرد؛ بلکه منطق زمینه‌ای جریان احراز هویت را درک کرد و یک فرض اعتماد معیوب را شناسایی نمود. این گروه از موانع حفاظتی قوی‌تر پیش از استقرار، گزارش‌دهی اجباری آسیب‌پذیری‌ها برای آزمایشگاه‌های هوش مصنوعی، و دسترسی محدود به مدل‌هایی که قادر به تولید اکسپلویت خودکار هستند، حمایت می‌کند.

آنچه نمی‌دانیم

  • گروه جرایم سایبری از کدام مدل زبان بزرگ خاص برای تولید اکسپلویت استفاده کرده است.
  • نام ابزار محبوب مدیریت سیستم متن‌باز که هدف قرار گرفته بود.
  • آیا عاملان تهدید موفق شده‌اند اکسپلویت‌های تولید شده توسط هوش مصنوعی دیگری را مستقر کنند که فاقد اثر انگشت‌های پزشکی قانونی آشکار بوده‌اند.

اصطلاحات کلیدی

اکسپلویت روز صفر
یک حمله سایبری که از یک آسیب‌پذیری نرم‌افزاری ناشناخته برای فروشنده سوء استفاده می‌کند، به این معنی که توسعه‌دهندگان «صفر روز» فرصت برای ایجاد وصله داشته‌اند.
احراز هویت دو مرحله‌ای (2FA)
یک سیستم امنیتی که برای دسترسی به یک حساب کاربری به دو شکل متمایز شناسایی نیاز دارد، معمولاً یک رمز عبور و یک کد ارسال شده به دستگاه تلفن همراه.
امتیاز CVSS
سیستم امتیازدهی آسیب‌پذیری مشترک، یک معیار استاندارد صنعتی است که برای ارزیابی شدت آسیب‌پذیری‌های امنیتی سیستم‌های رایانه‌ای استفاده می‌شود.
داک‌استرینگ (Docstring)
یک رشته متنی مشخص شده در کد منبع که برای مستندسازی یک بخش خاص از کد استفاده می‌شود و اغلب در مثال‌های برنامه‌نویسی آموزشی به شدت به کار می‌رود.
نقص منطقی
یک اشکال در نرم‌افزار که در آن کد دقیقاً مطابق با آنچه نوشته شده عمل می‌کند، اما طراحی یا فرض زیربنایی آن معیوب است و به مهاجمان اجازه می‌دهد قوانین مورد نظر را دور بزنند.

پرسش‌های متداول

آیا هوش مصنوعی به تنهایی حمله را آغاز کرد؟

خیر. یک سندیکای جرایم سایبری انسانی از یک مدل زبان بزرگ به عنوان ابزاری برای تجزیه و تحلیل کد و نوشتن اسکریپت اکسپلویت استفاده کرد، اما انسان‌ها کمپین بهره‌برداری گسترده را برنامه‌ریزی کردند.

کدام مدل هوش مصنوعی برای نوشتن اکسپلویت استفاده شد؟

گوگل مدل خاصی را که توسط مهاجمان استفاده شده، علناً شناسایی نکرده است، اگرچه تأیید کردند که این مدل نه جِمینای (Gemini) خودشان بوده و نه میتوس (Mythos) شرکت آنتروپیک.

آیا داده‌های کسی در این حادثه به خطر افتاد؟

خیر. گروه اطلاعات تهدید گوگل اکسپلویت را رهگیری کرد و با فروشنده همکاری کرد تا آسیب‌پذیری را پیش از آنکه مهاجمان بتوانند کمپین خود را آغاز کنند، وصله کند.

گوگل چگونه متوجه شد که کد توسط هوش مصنوعی نوشته شده است؟

اسکریپت اکسپلویت حاوی نشانگرهای پزشکی قانونی متمایزی بود، از جمله نظرات کد بیش از حد آموزشی، قالب‌بندی کتاب‌درسی که معمول داده‌های آموزشی هوش مصنوعی است، و یک امتیاز شدت آسیب‌پذیری ساختگی.

منابع

پوشش منابع

9 منبع

3 دیدگاه شناسایی‌شده

مدافعان امنیت سایبری 40%رهبران فناوری اطلاعات سازمانی 35%محققان ایمنی هوش مصنوعی 25%
  1. [1]PCMagمدافعان امنیت سایبری

    Google Uncovers First AI-Developed Zero-Day Exploit

    مطالعه در PCMag
  2. [2]CyberScoopمدافعان امنیت سایبری

    Google spotted an AI-developed zero-day before attackers could use it

    مطالعه در CyberScoop
  3. [3]OpenVPNمحققان ایمنی هوش مصنوعی

    Google identifies the first AI-developed zero-day used in mass exploitation

    مطالعه در OpenVPN
  4. [4]Cloud Security Allianceرهبران فناوری اطلاعات سازمانی

    First Criminal AI Zero-Day: Mass Exploitation Risk Confirmed

    مطالعه در Cloud Security Alliance
  5. [5]Kiteworksرهبران فناوری اطلاعات سازمانی

    Google's GTIG confirmed the first AI-crafted zero-day exploit in the wild

    مطالعه در Kiteworks
  6. [6]CSO Onlineمدافعان امنیت سایبری

    Google GTIG releases evidence of AI-crafted zero-day exploit

    مطالعه در CSO Online
  7. [7]SC Mediaمحققان ایمنی هوش مصنوعی

    First known AI-created zero-day exploit found in the wild

    مطالعه در SC Media
  8. [8]IANS Researchرهبران فناوری اطلاعات سازمانی

    Google Detects First AI-Generated Zero-Day Exploit in Active Campaign

    مطالعه در IANS Research
  9. [9]Cybersecurity Diveمدافعان امنیت سایبری

    Threat actors leverage AI for zero-day exploit, GTIG says

    مطالعه در Cybersecurity Dive
همیشه در جریان باشید

هر زاویه. هر روز.

دریافت هوش مصنوعی اخبار همراه با پوشش کامل منابع و تحلیل دیدگاه‌ها، مستقیم در صندوق ورودی شما.