كشف تقرير حديث من فريق الأبحاث الأمنية في الوحدة Unit 42 في شركة Palo Alto Networks عن استخدام المجرمين الإلكترونيين لنماذج الذكاء الاصطناعي الكبيرة (LLMs) لإعادة كتابة البرمجيات الخبيثة، مما يُصعّب اكتشافها بواسطة أدوات الأمن السيبراني التقليدية. التقرير الذي يحمل عنوان "الآن تراني، الآن لا تراني: استخدام LLMs لإخفاء البرمجيات الخبيثة المكتوبة بلغة JavaScript" يوضح كيف يمكن لهذه التقنية أن تُحدث تحولًا كبيرًا في ساحة التهديدات الإلكترونية.
الذكاء الاصطناعي في خدمة المهاجمين
وفقًا للتقرير، فإن نماذج الذكاء الاصطناعي الكبيرة مثل FraudGPT وWormGPT تُستخدم لإجراء تغييرات على البرمجيات الخبيثة المكتوبة مسبقًا بدلاً من إنشائها من الصفر. التعديلات تشمل:
- إعادة تسمية المتغيرات.
- إدراج أكواد غير فعّالة.
- إزالة المسافات غير الضرورية.
- إعادة صياغة الدوال البرمجية.
هذه العمليات تجعل الأكواد الضارة تبدو طبيعية وأكثر تعقيدًا، مما يُصعّب على أدوات الكشف التعرف عليها. وقد أظهرت التجارب أن هذه التقنية يمكنها تخفيض درجة "الخطورة" التي تُعطيها أدوات تحليل البرمجيات الخبيثة بنسبة تصل إلى 88%.
مقارنة بين أدوات التعتيم التقليدية وتقنيات LLM
بينما اعتمد المهاجمون سابقًا على أدوات تعتيم الأكواد مثل Obfuscator.io، وجد التقرير أن الأكواد المعدلة باستخدام LLM تبدو طبيعية أكثر وتتفوق على الأدوات التقليدية. هذا يجعل من الصعب على أنظمة الكشف القائمة على التعلم الآلي اكتشافها.
الدفاع ضد الهجمات المستقبلية*
للتصدي لهذا النوع من الهجمات، قام باحثو Unit 42 بإعادة تدريب أنظمة الكشف عن البرمجيات الخبيثة باستخدام عينات معدّلة بواسطة LLM. ونتج عن ذلك تحسين بنسبة 10% في قدرة الأنظمة على اكتشاف البرمجيات الخبيثة الجديدة في العالم الحقيقي.
أمثلة واقعية
تضمن التقرير أمثلة لصفحات تصيد إلكتروني مكتوبة بلغة JavaScript تم اكتشافها باستخدام النظام الجديد. تضمنت هذه الصفحات تقنيات تعتيم معقدة مثل إعادة تسمية المتغيرات واستخدام أكواد مخصصة لتجنب الاكتشاف، مع استهداف المستخدمين عبر منصات متعددة مثل Web 3.0.
توصيات للمؤسسات
ينصح التقرير المؤسسات باتخاذ التدابير التالية:
1. تحديث أنظمة الكشف عن التهديدات لتشمل تقنيات تعتمد على أمثلة برمجيات خبيثة معدّلة بواسطة الذكاء الاصطناعي.
2. مراقبة النشاطات المشبوهة بشكل مستمر على المواقع الإلكترونية والخوادم.
3. التعاون مع فرق الاستجابة للحوادث مثل Unit 42 Incident Response في حال الاشتباه بتعرض المؤسسة للاختراق.
الخلاصة
بينما تفتح تقنيات الذكاء الاصطناعي آفاقًا جديدة، فإنها تحمل أيضًا تحديات كبيرة بمجال الأمن السيبراني. ومع تصاعد استخدام LLMs من قبل المهاجمين، يصبح من الضروري على المؤسسات تعزيز أنظمتها الأمنية والاعتماد على أدوات حديثة لمواجهة التهديدات المتطورة.
للاطلاع على التقرير الكامل: [Now You See Me, Now You Don’t: Using LLMs to Obfuscate Malicious JavaScript](https://unit42.paloaltonetworks.com/using-llms-obfuscate-malicious-javascript/)