بسم الله الرحمن الرحيم
الحمد لله رب العالمين، وصلى الله وسلم وبارك على عبده ورسوله نبينا محمد وعلى آله وصحبه أجمعي
السلام عليكم ورحمة الله وبركاته
اكتشاف أول برمجية خبيثة تعتمد على الذكاء الاصطناعي يغيّر قواعد اللعبة
1. خلفية عامّة عن الأمن السيبراني
الأمن السيبراني (أو “Cybersecurity” ) هو المجال الذي يُعنى بحماية الأنظمة الحاسوبية، الشبكات، البيانات، والتطبيقات من الهجمات، الاختراقات، التلف أو المساس بها. ويشمل ذلك:
حماية البُنى التحتية (Servers، شبكات، أجهزة المستخدم).
حماية البيانات الحسّاسة (بيانات شخصيّة، بيانات ماليّة، أسرار صناعية).
ضمان استمرارية العمل (Availability) والقدرة على التعافي بعد الهجوم (Resilience).
منع الدخول غير المصرّح به (Access control) والمراقبة (Monitoring).
التوعية والتدريب للمستخدمين، لأن الخطأ البشري غالباً يمثّل ثغرة كبيرة.
ولقد تطور هذا المجال عبر السنوات، من أولى الفيروسات والديدان الجرّاضية (worms) إلى هجمات متطورة مثل البرمجيات الخبيثة (malware)، هجمات الفدية (ransomware)، التصيد (phishing)، الهجمات الموجّهة (APT) وغيرها.
2. الذكاء الاصطناعي والتحدّي الجديد
حتى السنوات القليلة الماضية، كان الذكاء الاصطناعي يُستخدم في الأمن السيبراني غالباً كأداة للدفاع: مثلاً للكشف عن الأنماط الغريبة، تحليل نشاط الشبكة، التنبّؤ بالتهديدات. لكن الآن، بدأ يظهر استخدام الذكاء الاصطناعي من قِبل المهاجمين بشكل مباشر في البرمجيات الخبيثة، مما يشكل تحولاً جذرياً.
أ) كيف يمكن أن يُستخدم الذكاء الاصطناعي من قِبل المهاجمين
توليد رسائل التصيد (phishing) أكثر إقناعاً، مخصصة للمستهدف، باستخدام مولدات لغوية كبيرة (LLM) أو أدوات تركيب نصوص ذكية.
تحليل الأنظمة المستهدفة أو البيئة المُخترقة بكفاءة أعلى، من خلال الذكاء الاصطناعي لاكتشاف نقاط الضعف أو استغلالها.
برمجيات خبيثة قادرة على تعديل ذاتها أثناء التنفيذ (self-modifying) أو تغيير سلوكها وفق السياق، مما يجعل كشفها وصدىها أصعب.
استخدام “وكلاء” ذكيّة (agent-based) داخل الهجوم تقوم بأدوار متعددة: مثلاً التسلل، الكمون، الانتشار الجانبي، استخراج البيانات، والتغطية (obfuscation).
ب) لماذا هذا الخطوة تغيّر قواعد اللعبة
لأن الدفاع يعتمد غالباً على توقّعات ثابتة: نماذج الكشف تعتمد على توقيعات، سلوك معروف، قواعد ثابتة. لكن البرمجيات الخبيثة المدعومة بالذكاء الاصطناعي قادرة على التحول والتكيّف على نحو ديناميكي.
لأن العتبة التقنية لأدوات الهجوم تنخفض: إذ بات بإمكان جهات أقل خبرة أن تشنّ هجمات معقدة بفضل “أدوات الذكاء الاصطناعي” الجاهزة في السوق السوداء.
لأن النطاق الزمن-الحقيقي (real-time) للتعديل يجعل الهجوم والمراقبة والتحليل أكثر صعوبة، ومما يجعل الاستجابة والتصحيح تتأخّر.
3. حالة الاكتشاف: ما الذي كشفت عنه Google؟
Google Threat Intelligence Group (GTIG) نشرت مؤخراً تقريراً بعنوان « Advances in Threat Actor Usage of AI Tools » في نوفمبر 2025، يتناول كيف أن المهاجمين يستخدمون أدوات الذكاء الاصطناعي ليس فقط كمعاونين، بل كجزء من الإجراءات التنفيذية للهجوم.
أبرز النقاط التي أشار إليها التقرير
تم تحديد عائلات برمجيات خبيثة جديدة مثل PROMPTFLUX و PROMPTSTEAL، التي تستخدم نماذج لغوية كبيرة (LLM) أثناء التنفيذ لتوليد نصوص خبيثة، لتعديل الشيفرة، أو لتجاوز أنظمة الحماية.
مثال: PROMPTFLUX عبارة عن سكربت VBScript يتصل بواجهة برمجة التطبيقات (API) لنموذج الذكاء الاصطناعي (على سبيل المثال Gemini) ويطلب “خبير تظليل VBScript” ليعيد كتابة الشيفرة تلقائياً بهدف التسلل وتجنّب التوقيعات الثابتة للنماذج المضادة.
تم رصد أنها تخزّن نسخاً مختلفة من الشيفرة في مجلد «Startup» لتضمن البقاء عند التشغيل، وتستنسخ نفسها إلى وسائل التخزين الخارجي أو الشبكات المشتركة.
PROMPTSTEAL استخدمت من قبل جهة مرتبطة بروسيا في أوكرانيا، وتقوم بتوليد أوامر عبر وحدة LLM بدلاً من أن تكون مبرمجة بشكل ثابت، مما يعطي مرونة أكبر للمهاجم.
التقرير يؤكد أن “هذه الخطوة تمثل تغييراً جوهرياً في طبيعة الهجمات السيبرانية: من استخدام الذكاء الاصطناعي كمساعد إلى استخدامه كعنصر فاعل داخل البرمجيات الخبيثة”.
لماذا هذه الحالة مهمة
لأنها من أوّل الحالات المعلنة علناً التي تؤكد أن البرمجيات الخبيثة تتصل بـ LLM أثناء التنفيذ — أي ليس مجرد استخدام ذكاء اصطناعي “خلف الكواليس” بل “داخل الهجوم”.
لأنها إشارة إلى أنّ مجال الهجمات السيبرانية دخل مرحلة “التكيّف الذاتي” (adaptive) والمنافسة بين الذكاء الاصطناعي للدفاع والذكاء الاصطناعي للهجوم بدأت تتصاعد.
لأنها تحث على إعادة النظر في النهج التقليدي للأمن السيبراني، خصوصاً ما يتعلق بالاكتشاف المبكر، تحديث النماذج، مراقبة السلوك غير الثابت، وكشف استخدام الذكاء الاصطناعي من قِبل المهاجمين.
4. التحديات والمخاطر الناشئة
بناءً على ما سبق، هناك مجموعة من المخاطر والتحديات التي يجب أن تؤخذ بعين الاعتبار:
أ) صعوبة الكشف والإحباط
عندما يستطيع برنامج خبيث أن يُعيد كتابة نفسه أو تغيير سلوكه تلقائياً، تصبح التوقيعات الثابتة وسير عمل الكشف القديمة أقل فعالية.
أنظمة الذكاء الاصطناعي الدفاعية قد تُخدع أو تتكيّف ببطء مع تغييرات البرمجيات الخبيثة المدعومة بالذكاء الاصطناعي.
المهاجمون قد يستخدمون نماذج مفتوحة المصدر دون ضوابط (مثلاً نماذج LLM معيّنة) ويتجاوزون الحماية المُدمَجة في نماذج أكثر تحكّماً مثل Gemini.
ب) توسيع حجم الهجوم وسرعته
أدوات الذكاء الاصطناعي تُسهل على المهاجمين إعداد هجمات أكثر تعقيداً بسرعة أقل، مما قد يُضخّم عدد الهجمات المُوجَّهة إلى مؤسسات صغيرة أو متوسطة.
الدخول إلى السوق السوداء للأدوات الذكاء الاصطناعي يجعل “الهجوم كخدمة” أكثر سهولة، مما يقلّل الحاجز أمام المهاجمين الأقل خبرة.
ج) التكيّف في الزمن الحقيقي
البرمجيات الخبيثة التي تغير سلوكها أثناء التنفيذ قد تتجنّب المراقبة التقليدية التي تنظر إلى “ما يحدث عادةً”.
من الممكن أن تُستخدم تقنيات ذكاء اصطناعي للاستهداف الذكي: تحليل المستخدمين، تغيير أسلوب الخداع بناءً على نتائج أولية، الانتشار الجانبي بناءً على بيئة الضحية.
د) أبعاد قانونية وأخلاقية وتنظيمية
مع ظهور الهجمات الجديدة، سيزداد الضغط على الحكومات والمؤسسات لإصدار تشريعات تُحدّ من استخدام الذكاء الاصطناعي في الهجمات، وحماية الحقوق الرقمية، وتشديد العقوبات على الاستخدام الخاطئ.
كذلك، سيُطرح السؤال: من المسؤول عن النموذج الذي استُخدم/استُغل في الهجوم؟ مزوّده؟ المطوّر؟ المستخدم؟
5. توصيات للمؤسسات والمستخدمين
لمواجهة هذا النوع من التهديدات، يُنصح باتباع استراتيجيات متعددة:
أ) تقوية الدفاعات التقنية
الانتقال من اعتماد التوقيعات الثابتة للبرمجيات الخبيثة إلى تحليل السلوك (behavioural analysis)، استخدام الذكاء الاصطناعي الدفاعي المتقدّم.
مراقبة العمليات التي تُعدّل نفسها، وجود سجلّات تغيّر الشيفرة أو الاتصال غير المعتاد بنماذج LLM أو API غير مرخصة.
تحديث جميع الأنظمة والتطبيقات فور صدور تصحيحات.
فرض مبدأ “الأقل صلاحية” (least privilege) وتقليل الحوافز للحركة الجانبية داخل الشبكة.
ب) التدريب والتوعية
رفع وعي الموظّفين حول التصيد الاجتماعي (social engineering)، خصوصاً أن الأدوات القائمة على الذكاء الاصطناعي تجعل الرسائل أكثر إغراءً وإقناعاً.
وضع سيناريوهات محاكاة للهجمات (مثل اختراق باستخدام الذكاء الاصطناعي) وتدريب الفرق على الاستجابة.
ج) الرصد والاستجابة والاستعادة
إنشاء خطة استجابة للحوادث (incident response) مخصصة للهجمات المتطوّرة التي قد تستخدم الذكاء الاصطناعي.
النسخ الاحتياطي المنتظم للبيانات، والتحقق من سلامة النسخ الاحتياطية، لأن الهجمات قد تُخصّص لاستهداف النسخ الاحتياطي أو تشفيرها.
التعاون مع خبراء الأمن السيبراني، وتحليل التهديدات بانتظام؛ الاستفادة من تقارير مثل التي نشرتها Google.
د) التقييم المستمر والتكيّف
مراجعة سياسة الأمن السيبراني بانتظام وإدراج ما يخص الذكاء الاصطناعي والهجمات ذات الطابع الذكي.
الاستثمار في البحث والتطوير داخل المؤسسة الخاصة بآليات الكشف عن “الذكاء الاصطناعي المُستخدم في الهجوم”.
تقييم الموردين والنماذج التي تُستخدم داخل المؤسسة من حيث الأمان، التأثير، المخاطر المرتبطة بها.
ما تمّ اكتشافه من قِبل Google ونشرت عنه بـ NOV 2025 يشكّل نقطة تحول في عالم الأمن السيبراني: البرمجيات الخبيثة لم تعد مجرد سكربتات ثابتة، بل أصبحت قادرة على “التفكير” أو “التعديل الذاتي” من خلال الذكاء الاصطناعي. وهذا يفرض علينا — كمستخدمين، مؤسسات، ومطوّري أمن — أن نغيّر طريقة التفكير والاستعداد لموجة جديدة من التهديدات.
في الواقع، لا يكفي أن نُحسّن الدفاعات التقنية فقط، بل يجب أن نُحسّن أيضاً المرونة التنظيمية، التوعية البشرية، وجاهزية الاستجابة. وإذ نرحّب بأي تقدّم في الذكاء الاصطناعي، يجب أن ندرك أن الجانب الآخر (التهديدات) أيضاً يمضي بسرعة، ويجب أن نكون مستعدين.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))