لماذا تعيد أول دودة برمجية مدعومة بالذكاء الاصطناعي تعريف الأمن السيبراني؟

لم تعد فكرة وجود دودة برمجية مدعومة بالذكاء الاصطناعي مجرد تهديد نظري، حيث نجح باحثون في استعراض برمجية خبيثة يمكنها تكييف استراتيجيات هجومها ذاتياً وبشكل فوري. بالنسبة لمديري تكنولوجيا المعلومات وفرق الأمن السيبراني، يمثل هذا التحول بداية حقبة مرعبة تتجاوز الثغرات التقليدية القابلة للتنبؤ إلى برمجيات خبيثة ديناميكية قادرة على تخطي دفاعات الحماية التقليدية. ويؤكد هذا التطور أن التهديدات السيبرانية من الجيل التالي ستستغل نماذج التعلم الآلي المحلية لاختراق الشبكات دون الحاجة للاتصال بخوادم سحابية خارجية.

كشفت دراسة بحثية جديدة أجراها باحثون من جامعة تورنتو (University of Toronto)، ومعهد فيكتور (Vector Institute)، وجامعة كامبريدج (University of Cambridge)، وشركة ServiceNow، عن نموذج أولي لدودة برمجية خبيثة تعمل بالذكاء الاصطناعي. وتستطيع هذه البرمجية تحديد الثغرات الأمنية، وابتكار مسارات هجوم مخصصة، واختراق الأنظمة، ثم استنساخ نفسها عبر الشبكة مع تكييف تكتيكاتها لتناسب الأجهزة المستهدفة المختلفة. وعلى عكس الديدان البرمجية التقليدية التي تعتمد على أكواد برمجية ثابتة لاستغلال ثغرات محددة مسبقاً، تستخدم هذه البرمجية نموذجاً لغوياً كبيراً لتحليل النظام المستهدف وتوليد استراتيجيات هجوم مخصصة في الوقت الفعلي.

يجب أن نستعد لمواجهة خصوم توليديين يعملون بشكل مستقل. إننا أمام أنظمة برمجيات خبيثة تنتشر دون تدخل بشري، ولا يتم تعريفها بواسطة أكواد اختراق ثابتة، بل بقدرتها على التفكير في الأهداف، والتكيف مع الملاحظات، وتوليد منطق الهجوم في الوقت الفعلي.

- الفريق البحثي، جامعة تورنتو وجامعة كامبريدج

وخلال التجارب التي أُجريت في بيئة افتراضية معزولة تضم 33 نظاماً من أنظمة Linux، ونظام Windows، وأجهزة إنترنت الأشياء (IoT) المزودة بثغرات شائعة، تمكنت الدودة عبر 15 تجربة من تحديد ما متوسطه 31.3 ثغرة أمنية، واختراق 23.1 جهازاً بنجاح، والانتشار إلى نحو 20 جهازاً خلال 7 أيام من التشغيل الذاتي المستقل. وفي بعض الاختبارات، تمكنت البرمجية الخبيثة من الوصول إلى 7 أجيال من التكاثر الذاتي دون أي تدخل بشري.

وتتميز هذه البرمجية بعدم اعتمادها على الخدمات السحابية مثل خدمات AWS، أو منصة Microsoft Azure، أو سحابة Google Cloud. وبدلاً من ذلك، قامت بتشغيل نماذج الذكاء الاصطناعي محلياً ومباشرة على الأجهزة المخترقة، مما يعني أن الأنظمة المصابة أصبحت جزءاً من بنيتها التحتية الحاسوبية. كما تمكنت من استغلال ثغرات تم الكشف عنها بعد تاريخ انقطاع بيانات تدريب النموذج، وذلك عبر قراءة وتحليل النشرات الأمنية المنشورة حديثاً أثناء التشغيل.

لحماية شبكات المؤسسات من التهديدات التوليدية المستقلة، يجب على فرق الأمن السيبراني الانتقال من نماذج الدفاع الاستاتيكية إلى ضوابط التحكم السلوكية والهيكلية. ويساعد تطبيق هذه الاستراتيجيات في الحد من مخاطر انتشار البرمجيات الخبيثة ذاتية التطور في بنيتك التحتية:

• تطبيق نموذج انعدام الثقة (Zero Trust): تقييد الحركة الجانبية داخل الشبكة لمنع الدودة البرمجية من فحص الأجهزة المجاورة واختراقها بسهولة في حال إصابة جهاز واحد.
• نشر أنظمة الكشف السلوكي: ستفشل برامج مكافحة الفيروسات التقليدية القائمة على التوقيعات الرقمية في مواجهة الأكواد المولدة ديناميكياً، لذا يجب مراقبة السلوكيات غير الطبيعية مثل التشغيل المكثف لنماذج الذكاء الاصطناعي المحلية أو أنماط فحص الشبكة غير المعتادة.
• تأمين بيئات الذكاء الاصطناعي المحلية: مراقبة وتقييد تشغيل نماذج الذكاء الاصطناعي مفتوحة الوزن غير المصرح بها على الأجهزة الطرفية، والتعامل مع بيئات تشغيل الذكاء الاصطناعي المحلية كبرمجيات عالية الخطورة.

إن الجانب الأكثر خطورة في هذا البحث لا يكمن فقط في استخدام الذكاء الاصطناعي لتطوير البرمجيات الخبيثة، بل في قدرتها على العمل محلياً بالكامل باستخدام نماذج مفتوحة الوزن. لسنوات طويلة، افترض قطاع الأمن السيبراني أن الهجمات المدعومة بالذكاء الاصطناعي ستواجه عقبة رئيسية تتمثل في حاجتها للاتصال بواجهات برمجة التطبيقات الخارجية مثل خدمات شركة OpenAI أو شركة Anthropic، وهو ما يسهل حظره عبر الجدران النارية. ولكن إثبات إمكانية تشغيل دودة برمجية عالية الكفاءة وذاتية الانتشار على الأجهزة المحلية المخترقة قد حطم هذه الفرضية الدفاعية تماماً.

هذا التحول يعني أن المدافعين عن الشبكات لم يعد بإمكانهم الاعتماد على حظر النطاقات أو مراقبة واجهات برمجة التطبيقات لإيقاف تهديدات الذكاء الاصطناعي. ومع صغر حجم النماذج مفتوحة الوزن وزيادة سرعتها وكفاءتها، سنرى قريباً برمجيات خبيثة تحمل نماذجها اللغوية الخاصة والمحسنة بالكامل داخل ملفاتها. وسيؤدي ذلك إلى إتاحة قدرات الاختراق المتقدمة التي كانت حكراً على الدول لجميع فئات المهاجمين، مما يسمح حتى لصغار مجرمي الإنترنت بشن هجمات تكيفية عالية الاستهداف وعلى نطاق واسع.