بدافزار هوش مصنوعی: چرا گزارش Unit 42 می‌گوید دوران حملات سریع‌تر و پیچیده‌تر آغاز شده است

هوش مصنوعی مولد حالا فقط ابزار تولید محتوا یا کدنویسی سریع نیست؛ طبق یافته‌های تیم Unit 42، همین فناوری به مهاجمان کمک کرده تا بدافزار هوش مصنوعی را سریع‌تر بسازند، حمله را هوشمندانه‌تر طراحی کنند و قبل از واکنش مدافعان، داده‌ها را خارج کنند. اگر امنیت سازمانی شما هنوز با فرض «زمان کافی برای تشخیص» تنظیم شده، وقت آن است این فرض را بازنگری کنید.

هوش مصنوعی مولد حالا فقط ابزار تولید محتوا یا کدنویسی سریع نیست؛ طبق یافته‌های تیم Unit 42، همین فناوری به مهاجمان کمک کرده تا بدافزار هوش مصنوعی را سریع‌تر بسازند، حمله را هوشمندانه‌تر طراحی کنند و قبل از واکنش مدافعان، داده‌ها را خارج کنند. اگر امنیت سازمانی شما هنوز با فرض «زمان کافی برای تشخیص» تنظیم شده، وقت آن است این فرض را بازنگری کنید.

هوش مصنوعی مولد چگونه سرعت ساخت بدافزار را چند برابر کرده است

در گزارش سالانه پاسخ‌گویی به رخدادهای جهانی Unit 42 از شرکت Palo Alto Networks، یک نکته با صدای بلند تکرار می‌شود: هوش مصنوعی مولد دیگر فقط یک ابزار بهره‌وری نیست؛ برای مهاجمان «ضریب نیرو» است. وقتی تولید کد، بازنویسی اسکریپت‌ها، ساخت نمونه‌های جدید و حتی شخصی‌سازی پیام‌های فریبنده با چند پرامپت انجام می‌شود، چرخه تولید و تکامل بدافزار کوتاه‌تر و تهاجمی‌تر می‌شود. نتیجه‌اش را در زمان‌بندی عملیات هم می‌بینیم: طبق این گزارش، مدت زمان خروج داده‌ها از شبکه قربانی (data exfiltration) از حدود ۵ ساعت در دوران پیش از AI به ۷۲ دقیقه رسیده است؛ یعنی مهاجم می‌تواند قبل از اینکه تیم امنیتی نشانه‌های جدی را ببیند، «کار را تمام کند». این همان نقطه‌ای است که بدافزار هوش مصنوعی را از یک کلیدواژه خبری به یک واقعیت عملیاتی تبدیل می‌کند.

این شتاب، فقط به معنی افزایش تعداد نمونه‌ها نیست؛ پیچیدگی هم بالا می‌رود. مهاجمان می‌توانند با کمک مدل‌های زبانی، کد را ماژولارتر کنند، مسیرهای اجرای جایگزین بسازند، و با تکنیک‌های مبهم‌سازی (obfuscation) و تغییرپذیری (polymorphism) تشخیص را دشوارتر کنند. از سوی دیگر، برای تیم‌های دفاعی، معنی‌اش افزایش حجم هشدارهای کم‌ارزش و سخت‌تر شدن جداسازی «تهدید واقعی» از نویز است.

مرورگر، هویت دیجیتال و SaaS: میدان‌های نبرد جدید

Unit 42 مرورگر را «میدان نبرد اصلی» می‌داند؛ جایی که نزدیک به ۴۸٪ رخدادها از آن آغاز یا در آن رخ می‌دهد. دلیلش روشن است: مرورگر نقطه تلاقی کاربر، سرویس‌های ابری، اپلیکیشن‌های SaaS و هویت دیجیتال است—و مهاجمان عاشق همین گلوگاه‌ها هستند. اما داستان به یک نقطه ختم نمی‌شود. گزارش می‌گوید حدود ۸۷٪ نفوذها چندسطحی‌اند و از چند سطح حمله عبور می‌کنند؛ یعنی تهدید به‌ندرت در یک محیط واحد (فقط شبکه داخلی یا فقط کلاد) محدود می‌ماند.

در عمل، مهاجم هم‌زمان روی چند جبهه کار می‌کند: یک سر فیشینگ و مهندسی اجتماعی، یک سر سرقت نشست‌ها و کوکی‌ها در مرورگر، و در ادامه حرکت جانبی بین سرویس‌های ابری، نقاط انتهایی، و سامانه‌های هویت. در چنین صحنه‌ای، بدافزار هوش مصنوعی معمولاً فقط «قطعه پایانی» نیست؛ گاهی نقش طراح سناریو را هم بازی می‌کند و محتوای فریبنده، اسکریپت‌های دسترسی اولیه و حتی مراحل بعدی را با سرعت بالا تولید می‌کند.

مهم‌تر اینکه «هویت» به موتور دسترسی اولیه تبدیل شده است. طبق گزارش، در ۹ مورد از هر ۱۰ رخداد، ضعف‌های مرتبط با هویت (مثل پیکربندی ضعیف، MFA ناکامل، مجوزهای بیش‌ازحد، یا مدیریت نشست ناکارآمد) نقش پررنگ داشته‌اند. همچنین حدود ۶۵٪ دسترسی‌های اولیه از مسیر مهندسی اجتماعی می‌آیند، در حالی که بهره‌برداری از آسیب‌پذیری‌ها کمتر از یک‌چهارم (۲۲٪) را تشکیل می‌دهد. این آمارها یک پیام روشن دارد: اگر آدم‌ها و هویت‌ها امن نشوند، بهترین ابزارهای فنی هم کافی نیستند.

زنجیره تأمین SaaS و سرقت توکن‌ها: چرا OAuth و API key طعمه اصلی‌اند

یکی از بخش‌های نگران‌کننده گزارش، رشد حملات زنجیره تأمین در اکوسیستم SaaS است. Unit 42 می‌گوید این حملات از سال ۲۰۲۲ تقریباً چهار برابر شده و اکنون نزدیک به ۲۳٪ کل حملات را تشکیل می‌دهد. مهاجم لازم نیست همیشه مستقیماً به سازمان شما نفوذ کند؛ گاهی کافی است به یک اپلیکیشن ثالثِ متصل به حساب‌های سازمانی دسترسی بگیرد و از همان‌جا وارد شود.

در این سناریو، هدف‌های طلایی معمولاً توکن‌های OAuth و کلیدهای API هستند. این رازهای کوچک اگر لو بروند، مهاجم می‌تواند بدون سر و صدای زیاد، به سرویس‌های مختلف «به‌جای شما» دسترسی پیدا کند، حرکت جانبی انجام دهد، داده‌ها را بیرون بکشد، یا حتی سامانه‌ها را قفل کند و بدافزار هوش مصنوعی را برای مراحل بعدی مستقر کند. برای دفاع، صرفاً تکیه بر «پسورد قوی» کافی نیست؛ مدیریت اسرار (secrets management)، محدودسازی دامنه دسترسی توکن‌ها، چرخش دوره‌ای کلیدها، و پایش رفتار غیرعادی در سطح SaaS به یک الزام تبدیل شده است.

باج‌افزار بدون رمزگذاری: تمرکز جدید روی استخراج داده

سال‌ها باج‌افزار مترادف «رمزگذاری فایل‌ها» بود؛ اما گزارش Unit 42 تأکید می‌کند بسیاری از گروه‌ها از رمزگذارها فاصله گرفته‌اند و تمرکز را روی سرقت داده گذاشته‌اند. از نگاه مهاجم، این مدل سریع‌تر، کم‌صداتر و پرفشارتر است: وقتی داده حساس سازمان خارج شود، تهدید افشا و باج‌گیری بلافاصله شروع می‌شود—بدون آنکه علائم سنتی رمزگذاری گسترده (که مدافعان قبلاً روی آن‌ها حساب می‌کردند) دیده شود.

در این مدل، زمان حیاتی است و همان کاهش زمان exfiltration به ۷۲ دقیقه اهمیت پیدا می‌کند. ابزارهای خودکار، اسکریپت‌های آماده، و حتی تولید مرحله‌به‌مرحله playbookها با کمک بدافزار هوش مصنوعی، باعث می‌شود مهاجم در کمترین زمان «داده‌های درست» را پیدا کند و خارج کند. برای دفاع، باید به‌جای تمرکز صرف بر جلوگیری از رمزگذاری، روی ردیابی جریان داده، طبقه‌بندی اطلاعات، و کنترل خروجی‌ها سرمایه‌گذاری کرد.

راهکارهای عملی شامل DLP در نقاط کلیدی، محدودسازی دسترسی بر اساس حداقل امتیاز (Least Privilege)، سیاست‌های دقیق اشتراک‌گذاری در سرویس‌های ابری، و تمرین سناریوهای پاسخ‌گویی به رخداد است. همچنین تقویت مقاومت در برابر فیشینگ (مثل MFA مقاوم به فیشینگ و کلیدهای امنیتی)، سخت‌گیری در دسترسی اپ‌های ثالث، و مانیتورینگ نشست‌های مرورگر می‌تواند هزینه حمله را بالا ببرد—به‌خصوص وقتی بدافزار هوش مصنوعی سعی می‌کند با سرعت و تغییرپذیری، دفاع را دور بزند.

جمع‌بندی گزارش Unit 42 روشن است: با کوتاه شدن زمان نفوذ و خروج داده‌ها، دفاع مؤثر یعنی تمرکز هم‌زمان روی هویت، مرورگر، اپ‌های SaaS و پایش جریان داده. سازمان‌هایی که مدیریت دسترسی و اسرار را جدی بگیرند، تمرین پاسخ‌گویی به رخداد داشته باشند و کنترل‌های خروج داده را تقویت کنند، شانس بیشتری برای مهار موج بدافزار هوش مصنوعی خواهند داشت.