تستغل الجهات الفاعلة السيبرانية المدعومة من الدول أدوات الذكاء الاصطناعي المتقدمة، مثل نماذج اللغة الكبيرة (LLMs) من جوجل، لتسريع وتيرة الهجمات السيبرانية وتعزيز فعاليتها. هذا التطور المقلق، الذي سلطت الضوء عليه مجموعة Threat Intelligence Group (GTIG) التابعة لشركة جوجل في تقريرها الأخير، يشير إلى تحول كبير في مشهد التهديدات السيبرانية، حيث أصبح الذكاء الاصطناعي أداة أساسية للمهاجمين المدعومين من حكومات إيران وكوريا الشمالية والصين وروسيا.
تصاعد استخدام الذكاء الاصطناعي في الهجمات السيبرانية
يكشف تقرير AI Threat Tracker ربع السنوي عن كيفية دمج المهاجمون المدعومين من الحكومة للذكاء الاصطناعي في جميع مراحل دورة حياة الهجوم السيبراني، بدءًا من الاستطلاع ووصولًا إلى تطوير البرامج الضارة. لم يعد الذكاء الاصطناعي مجرد مفهوم مستقبلي في مجال الأمن السيبراني، بل أصبح واقعًا ملموسًا يتطلب استجابة فورية. أصبح استخدام نماذج اللغة الكبيرة (LLMs) أمرًا أساسيًا للجهات الفاعلة في مجال التهديد المدعومة من الحكومة، مما يمكنها من إجراء بحث فني متقدم، وتحديد الأهداف بدقة، وإنشاء رسائل تصيد احتيالي مقنعة بسرعة وكفاءة.
استهداف قطاع الدفاع وعمليات الاستطلاع المتقدمة
تركز العديد من هذه الهجمات على قطاع الدفاع. على سبيل المثال، استخدمت مجموعة APT42 الإيرانية نموذج Gemini من جوجل لتعزيز عمليات الاستطلاع والهندسة الاجتماعية المستهدفة. استغلت المجموعة الذكاء الاصطناعي لإنشاء عناوين بريد إلكتروني تبدو رسمية لكيانات محددة، ثم أجرت بحثًا شاملاً لإنشاء ذرائع موثوقة للتواصل مع الأهداف. هذا النهج المتقدم يسمح لهم بتجاوز آليات الكشف التقليدية عن التصيد الاحتيالي.
تحسين الهندسة الاجتماعية باستخدام الذكاء الاصطناعي
لم تقتصر جهود APT42 على إنشاء عناوين بريد إلكتروني مقنعة، بل امتدت لتشمل تصميم شخصيات وسيناريوهات مصممة خصيصًا لجذب تفاعل الأهداف. كما استخدمت المجموعة الذكاء الاصطناعي للترجمة بين اللغات وإنشاء عبارات طبيعية أصلية، مما ساعدها على التغلب على العلامات التقليدية للتصيد الاحتيالي، مثل الأخطاء النحوية أو بناء الجملة غير المناسب. هذا المستوى من الدقة والواقعية يجعل من الصعب على المستخدمين العاديين اكتشاف هذه الهجمات.
بالإضافة إلى ذلك، استخدمت المجموعة UNC2970 الكورية الشمالية، التي تركز على استهداف قطاع الدفاع وانتحال صفة مسؤولي التوظيف، Gemini لتحديد الأهداف ذات القيمة العالية. ركزت المجموعة على البحث عن معلومات حول شركات الأمن السيبراني والدفاع الكبرى، ورسم خرائط للأدوار الوظيفية الفنية المحددة، وجمع معلومات حول الرواتب.
تصاعد هجمات استخراج النماذج والبرامج الضارة المدمجة بالذكاء الاصطناعي
بعيدًا عن سوء الاستخدام التشغيلي، رصدت جوجل ديب مايند و GTIG زيادة في محاولات استخراج النماذج، المعروفة أيضًا باسم “هجمات التقطير”، والتي تهدف إلى سرقة الملكية الفكرية من نماذج الذكاء الاصطناعي. تضمنت إحدى الحملات التي استهدفت قدرات Gemini المنطقية تجميع واستخدام أكثر من 100,000 مطالبة مصممة لإجبار النموذج على إخراج عمليات التفكير.
كما لاحظت GTIG عينات من البرامج الضارة، التي تم تتبعها باسم HONESTCUE، والتي تستخدم واجهة برمجة تطبيقات Gemini للاستعانة بمصادر خارجية لإنشاء الوظائف. تم تصميم هذه البرامج الضارة لتقويض الكشف التقليدي القائم على الشبكة والتحليل الثابت من خلال أسلوب تشويش متعدد الطبقات. بالإضافة إلى ذلك، حددت GTIG COINBAIT، وهي مجموعة أدوات للتصيد الاحتيالي من المحتمل أن يتم تسريع بنائها بواسطة أدوات إنشاء أكواد الذكاء الاصطناعي.
إساءة استخدام منصات الدردشة التي تعمل بالذكاء الاصطناعي
في حملة هندسة اجتماعية جديدة تم رصدها في ديسمبر 2025، اكتشفت جوجل أن الجهات الفاعلة في مجال التهديد تسيء استخدام ميزات المشاركة العامة لخدمات الذكاء الاصطناعي التوليدية – بما في ذلك Gemini وChatGPT وCopilot وDeepSeek وGrok – لاستضافة محتوى خادع يوزع برامج ATOMIC الضارة التي تستهدف أنظمة macOS. قام المهاجمون بالتلاعب بنماذج الذكاء الاصطناعي لإنشاء تعليمات تبدو واقعية لمهام الكمبيوتر الشائعة، ودمجوا نصوص أوامر ضارة باعتبارها “الحل”.
السوق السري لمفاتيح API المسروقة
تشير ملاحظات GTIG للمنتديات السرية باللغتين الإنجليزية والروسية إلى الطلب المستمر على الأدوات والخدمات التي تدعم الذكاء الاصطناعي. ومع ذلك، يواجه المتسللون صعوبة في تطوير نماذج مخصصة للذكاء الاصطناعي، ويفضلون الاعتماد على المنتجات التجارية الناضجة التي يتم الوصول إليها من خلال بيانات الاعتماد المسروقة.
استجابة جوجل والتخفيفات
اتخذت جوجل إجراءات ضد جهات التهديد المحددة من خلال تعطيل الحسابات والأصول المرتبطة بالأنشطة الضارة. كما طبقت الشركة أيضًا معلومات لتعزيز أدوات التصنيف والنماذج، مما سمح لها برفض المساعدة في شن هجمات مماثلة في المستقبل. تؤكد جوجل التزامها بتطوير الذكاء الاصطناعي بجرأة ومسؤولية، مع اتخاذ خطوات استباقية لتعطيل الأنشطة الضارة.
الخلاصة: مستقبل الأمن السيبراني في عصر الذكاء الاصطناعي
على الرغم من هذه التطورات، لم تتمكن أي جهة فاعلة من التهديدات المستمرة المتقدمة من تحقيق قدرات خارقة من شأنها أن تغير مشهد التهديد بشكل أساسي. ومع ذلك، تؤكد النتائج الدور المتطور للذكاء الاصطناعي في الأمن السيبراني، حيث يتسابق كل من المدافعين والمهاجمين لاستخدام قدرات التكنولوجيا. بالنسبة لفرق أمن المؤسسات، وخاصة في منطقة آسيا والمحيط الهادئ، يعد هذا التقرير بمثابة تذكير مهم لتعزيز الدفاعات ضد الهندسة الاجتماعية المعززة بالذكاء الاصطناعي وعمليات الاستطلاع. يجب على المؤسسات الاستثمار في حلول الأمن السيبراني المتقدمة التي يمكنها اكتشاف هذه التهديدات والاستجابة لها بشكل فعال. كما يجب على المستخدمين توخي الحذر بشأن رسائل البريد الإلكتروني والروابط غير المعروفة، والتحقق من صحة المعلومات قبل مشاركتها. إن فهم هذه التهديدات المتطورة هو الخطوة الأولى نحو حماية أنفسنا وعملنا في هذا العصر الرقمي المتزايد التعقيد.