الذكاء الاصطناعي يسرع إنشاء الثغرات: من التصحيح إلى الاستغلال في ساعات
يتطور مشهد الأمن السيبراني بسرعة، مع تزايد الدور الذي يلعبه الذكاء الاصطناعي (AI) بشكل كبير. أصبحت نماذج الذكاء الاصطناعي التوليدية الآن قادرة على صياغة تعليمات برمجية للاستغلال بسرعات ملحوظة، مما يقلل بشكل كبير من نافذة الفرص المتاحة للمدافعين للاستجابة للثغرات الأمنية. هذا التحول، المدفوع بقدرة الذكاء الاصطناعي على تحليل وفهم التعليمات البرمجية المعقدة، يطرح تحديات جديدة على المؤسسات التي تسعى جاهدة لحماية أنظمتها.
سرعة الاستغلال: مسألة ساعات
لقد تم ضغط الجدول الزمني التقليدي من الكشف عن الثغرة الأمنية إلى إنشاء دليل على المفهوم (PoC) للاستغلال بشكل كبير بفضل قدرات الذكاء الاصطناعي التوليدي. ما كان يستغرق أيامًا أو أسابيع يمكن الآن إنجازه في غضون ساعات.
أظهر ماثيو كيلي، خبير أمن في ProDefense، هذه السرعة باستخدام الذكاء الاصطناعي لتطوير استغلال لثغرة أمنية خطيرة في مكتبة SSH الخاصة بـ Erlang في فترة ما بعد الظهر. حدد نموذج الذكاء الاصطناعي، الذي يستفيد من التعليمات البرمجية من تصحيح منشور، الثغرات الأمنية وابتكر استغلالًا. يسلط هذا المثال الضوء على كيف يمكن للذكاء الاصطناعي تسريع عملية الاستغلال، مما يمثل تحديًا هائلاً لمحترفي الأمن السيبراني.
استلهمت تجربة كيلي من منشور من Horizon3.ai، ناقش سهولة تطوير التعليمات البرمجية للاستغلال لخطأ مكتبة SSH. قرر اختبار ما إذا كانت نماذج الذكاء الاصطناعي، وتحديداً GPT-4 من OpenAI و Claude Sonnet 3.7 من Anthropic، يمكنها أتمتة عملية إنشاء الاستغلال.
كانت النتائج التي توصل إليها مذهلة. وفقًا لكيلي، لم يفهم GPT-4 وصف الثغرات والتعرضات الشائعة (CVE) فحسب، بل حدد أيضًا الالتزام الذي قدم الإصلاح، وقارنه بالشفرة القديمة، وحدد موقع الثغرة الأمنية، وحتى كتب PoC. عندما فشلت التعليمات البرمجية الأولية، قام نموذج الذكاء الاصطناعي بتصحيحها وتصحيحها، مما يدل على قدرته على التعلم والتكيف.
الدور المتزايد للذكاء الاصطناعي في أبحاث الثغرات الأمنية
أثبت الذكاء الاصطناعي قيمته في كل من تحديد الثغرات الأمنية وتطوير الاستغلالات. يستخدم مشروع OSS-Fuzz التابع لـ Google نماذج لغوية كبيرة (LLMs) لاكتشاف الثغرات الأمنية، بينما أظهر الباحثون في جامعة إلينوي في أوربانا شامبين قدرة GPT-4 على استغلال الثغرات الأمنية عن طريق تحليل CVEs.
إن السرعة التي يمكن بها للذكاء الاصطناعي الآن إنشاء استغلالات تؤكد الحاجة الملحة للمدافعين للتكيف مع هذا الواقع الجديد. إن أتمتة خط أنابيب إنتاج الهجوم تترك للمدافعين أقل وقت ممكن للرد وتنفيذ التدابير الأمنية اللازمة.
تفكيك عملية إنشاء الاستغلال بالذكاء الاصطناعي
تضمنت تجربة كيلي توجيه GPT-4 لإنشاء برنامج Python النصي الذي قارن بين مقاطع التعليمات البرمجية المعرضة للخطر والتي تم تصحيحها في خادم Erlang/OPT SSH. سمحت هذه العملية، المعروفة باسم “diffing”، للذكاء الاصطناعي بتحديد التغييرات المحددة التي تم إجراؤها لمعالجة الثغرة الأمنية.
أكد كيلي أن اختلافات التعليمات البرمجية كانت ضرورية لـ GPT-4 لإنشاء PoC عملي. وبدونها، كافح نموذج الذكاء الاصطناعي لتطوير استغلال فعال. في البداية، حاول GPT-4 كتابة أداة تشويش لفحص خادم SSH، مما يدل على قدرته على استكشاف ناقلات هجوم مختلفة.
في حين أن التشويش ربما لم يكشف عن الثغرة الأمنية المحددة، فقد قدم GPT-4 بنجاح اللبنات الأساسية اللازمة لإنشاء بيئة معملية، بما في ذلك Dockerfiles وإعداد خادم Erlang SSH على الإصدار المعرض للخطر وأوامر التشويش. تقلل هذه الإمكانية بشكل كبير من منحنى التعلم للمهاجمين، مما يمكنهم من فهم الثغرات الأمنية واستغلالها بسرعة.
مسلحًا بالاختلافات في التعليمات البرمجية، أنتج نموذج الذكاء الاصطناعي قائمة بالتغييرات، مما دفع كيلي إلى الاستفسار عن سبب الثغرة الأمنية.
شرح نموذج الذكاء الاصطناعي بدقة الأساس المنطقي وراء الثغرة الأمنية، مع تفصيل التغيير في المنطق الذي أدخل الحماية ضد الرسائل غير المصادق عليها. يسلط هذا المستوى من الفهم الضوء على قدرة الذكاء الاصطناعي ليس فقط على تحديد الثغرات الأمنية ولكن أيضًا فهم أسبابها الكامنة.
بعد هذا التوضيح، عرض نموذج الذكاء الاصطناعي إنشاء عميل PoC كامل، أو عرض توضيحي بأسلوب Metasploit، أو خادم SSH مصحح للتتبع، مما يدل على تنوعه وتطبيقاته المحتملة في أبحاث الثغرات الأمنية.
التغلب على التحديات: التصحيح والتحسين
على الرغم من قدراته الرائعة، فإن التعليمات البرمجية الأولية لـ PoC في GPT-4 لم تعمل بشكل صحيح، وهو أمر شائع مع التعليمات البرمجية التي تم إنشاؤها بواسطة الذكاء الاصطناعي والتي تتجاوز المقتطفات البسيطة.
لمعالجة هذه المشكلة، لجأ كيلي إلى أداة ذكاء اصطناعي أخرى، وهي Cursor مع Claude Sonnet 3.7 من Anthropic، وكلفها بإصلاح PoC غير العامل. والمفاجأة، نجح نموذج الذكاء الاصطناعي في تصحيح التعليمات البرمجية، مما يدل على إمكانية قيام الذكاء الاصطناعي بتحسين مخرجاته الخاصة وتحسينها.
تأمل كيلي في تجربته، مشيرًا إلى أنها حولت فضوله الأولي إلى استكشاف عميق لكيفية إحداث الذكاء الاصطناعي ثورة في أبحاث الثغرات الأمنية. وأكد أن ما كان يتطلب في السابق معرفة متخصصة بـ Erlang وتصحيحًا يدويًا مكثفًا يمكن الآن إنجازه في فترة ما بعد الظهر باستخدام المطالبات الصحيحة.
الآثار المترتبة على انتشار التهديدات
سلط كيلي الضوء على زيادة كبيرة في سرعة انتشار التهديدات، مدفوعة بقدرة الذكاء الاصطناعي على تسريع عملية الاستغلال.
لا يتم نشر الثغرات الأمنية بشكل متكرر فحسب، بل يتم استغلالها أيضًا بشكل أسرع بكثير، أحيانًا في غضون ساعات من الكشف عنها للجمهور. يترك هذا الجدول الزمني للاستغلال المتسارع للمدافعين وقتًا أقل للرد وتنفيذ التدابير الأمنية اللازمة.
يتميز هذا التحول أيضًا بزيادة التنسيق بين الجهات الفاعلة التي تهدد، حيث يتم استخدام نفس الثغرات الأمنية عبر منصات ومناطق وصناعات مختلفة في وقت قصير جدًا.
وفقًا لكيلي، كان مستوى المزامنة بين الجهات الفاعلة التي تهدد يستغرق أسابيع، ولكن يمكن أن يحدث الآن في يوم واحد. تشير البيانات إلى زيادة كبيرة في CVEs المنشورة، مما يعكس التعقيد المتزايد وسرعة المشهد الذي تهدده. بالنسبة للمدافعين، يترجم هذا إلى نوافذ استجابة أقصر وحاجة أكبر إلى الأتمتة والمرونة والاستعداد الدائم.
الدفاع ضد التهديدات المتسارعة بالذكاء الاصطناعي
عندما سئل كيلي عن الآثار المترتبة على الشركات التي تسعى إلى الدفاع عن بنيتها التحتية، أكد أن المبدأ الأساسي يظل كما هو: يجب تصحيح الثغرات الأمنية الخطيرة بسرعة وأمان. يتطلب هذا اتباع نهج DevOps حديث يعطي الأولوية للأمن.
التغيير الرئيسي الذي أدخله الذكاء الاصطناعي هو السرعة التي يمكن بها للمهاجمين الانتقال من الكشف عن الثغرة الأمنية إلى استغلال عملي. يتقلص الجدول الزمني للاستجابة، مما يتطلب من المؤسسات التعامل مع كل إصدار CVE على أنه تهديد فوري محتمل. لم يعد بإمكان المؤسسات الانتظار أيامًا أو أسابيع للرد؛ يجب أن يكونوا مستعدين للرد في اللحظة التي يتم فيها نشر التفاصيل.
التكيف مع مشهد الأمن السيبراني الجديد
للدفاع بفعالية ضد التهديدات المتسارعة بالذكاء الاصطناعي، يجب على المؤسسات تبني موقف أمني استباقي وقابل للتكيف. وهذا يشمل:
- تحديد أولويات إدارة الثغرات الأمنية: تنفيذ برنامج قوي لإدارة الثغرات الأمنية يتضمن المسح المنتظم وتحديد الأولويات وتصحيح الثغرات الأمنية.
- أتمتة العمليات الأمنية: الاستفادة من الأتمتة لتبسيط العمليات الأمنية، مثل فحص الثغرات الأمنية والاستجابة للحوادث وتحليل معلومات التهديدات.
- الاستثمار في معلومات التهديدات: ابق على اطلاع بأحدث التهديدات والثغرات الأمنية من خلال الاستثمار في خلاصات معلومات التهديدات والمشاركة في مجتمعات تبادل المعلومات.
- تعزيز التدريب على التوعية الأمنية: تثقيف الموظفين حول مخاطر التصيد الاحتيالي والبرامج الضارة والتهديدات الإلكترونية الأخرى.
- تنفيذ بنية الثقة المعدومة: تبني نموذج أمان الثقة المعدومة الذي يفترض أنه لا يوجد مستخدم أو جهاز موثوق به افتراضيًا.
- الاستفادة من الذكاء الاصطناعي للدفاع: استكشاف استخدام أدوات الأمان التي تعمل بالذكاء الاصطناعي لاكتشاف التهديدات والاستجابة لها في الوقت الفعلي.
- المراقبة والتحسين المستمر: مراقبة الضوابط والعمليات الأمنية باستمرار، وإجراء التعديلات حسب الحاجة للبقاء في صدارة التهديدات المتطورة.
- تخطيط الاستجابة للحوادث: تطوير واختبار خطط الاستجابة للحوادث بانتظام لضمان استجابة سريعة وفعالة للحوادث الأمنية.
- التعاون وتبادل المعلومات: تعزيز التعاون وتبادل المعلومات مع المنظمات الأخرى والمجموعات الصناعية لتحسين الأمن الجماعي.
- صيد التهديدات الاستباقي: إجراء صيد التهديدات الاستباقي لتحديد التهديدات المحتملة والتخفيف من حدتها قبل أن تتسبب في ضرر.
- تبني DevSecOps: دمج الأمان في دورة حياة تطوير البرامج لتحديد ومعالجة الثغرات الأمنية في وقت مبكر.
- عمليات التدقيق الأمني المنتظمة واختبار الاختراق: إجراء عمليات تدقيق أمني منتظمة واختبار الاختراق لتحديد نقاط الضعف في الأنظمة والتطبيقات.
مستقبل الأمن السيبراني في عصر الذكاء الاصطناعي
يقدم صعود الذكاء الاصطناعي في الأمن السيبراني فرصًا وتحديات. في حين أن الذكاء الاصطناعي يمكن استخدامه لتسريع الهجمات، إلا أنه يمكن استخدامه أيضًا لتعزيز الدفاعات. ستكون المنظمات التي تتبنى الذكاء الاصطناعي وتكيف استراتيجياتها الأمنية في أفضل وضع لحماية نفسها من المشهد المتطور الذي يهددها.
مع استمرار تطور الذكاء الاصطناعي، من الأهمية بمكان أن يظل محترفو الأمن السيبراني على اطلاع بأحدث التطورات وتكييف مهاراتهم واستراتيجياتهم وفقًا لذلك. سيتم تحديد مستقبل الأمن السيبراني من خلال المعركة المستمرة بين المهاجمين المدعومين بالذكاء الاصطناعي والمدافعين المدعومين بالذكاء الاصطناعي.