هوش مصنوعی و نیمه تاریک؛ وقتی هکرها با AI به سراغ شما می‌آیند

آخرین بروزرسانی در ۲۳ بهمن ۱۴۰۴ توسط Dr.Arman

تصور کنید یک فایل مخرب به تنهایی سیستم شما را اسکن کند، فایل‌های حساس را پیدا کرده و برایتان یک نامه باج‌گیری کاملاً شخصی‌سازی شده بنویسد؛ آن هم بدون اینکه حتی یک انسان پشت این ماجرا باشد! این سناریویی است که در اخبار تکنولوژی اخیر، لرزه بر اندام کارشناسان امنیتی انداخته است. هوش مصنوعی که قرار بود زندگی ما را ساده‌تر کند، حالا به دست کسانی افتاده که نقشه‌های دیگری برای حساب‌های بانکی ما دارند.

ماجرای کشف یک هیولای دیجیتال

همه چیز از اواخر اوت سال گذشته شروع شد. آنتون چرپانوف، محقق امنیت سایبری، در حال بررسی فایل‌های مشکوک در سایت VirusTotal بود که به موردی برخورد که تا به حال مشابهش را ندیده بود. در نگاه اول، یک فایل معمولی به نظر می‌رسید، اما سیستم‌های تشخیص بدافزار او آژیر خطر را به صدا درآوردند. او و همکارش پیتر استریچک متوجه شدند با چیزی فراتر از یک ویروس ساده طرف هستند.

این بدافزار که آن را PromptLock نامیدند، اولین نمونه‌ای بود که از مدل‌های زبانی بزرگ (LLM) در تمام مراحل حمله استفاده می‌کرد. این نرم‌افزار می‌توانست به صورت خودمختار کد مخرب تولید کند، نقشه کامپیوتر قربانی را بکشد و بر اساس محتوای فایل‌های دزدیده شده، نامه‌های باج‌گیری بنویسد که دقیقاً نقطه ضعف قربانی را هدف می‌گرفتند. نکته ترسناک این بود که هر بار که اجرا می‌شد، رفتارش را تغییر می‌داد تا شناسایی نشود.

وقتی پروژه‌های آکادمیک به واقعیت نزدیک می‌شوند

باید اعتراف کنم که وقتی خبر PromptLock مثل بمب در رسانه‌ها صدا کرد، همه ما کمی ترسیدیم. اما یک روز بعد، تیمی از محققان دانشگاه نیویورک اعلام کردند که این بدافزار در واقع یک پروژه تحقیقاتی بوده تا ثابت کنند خودکارسازی کامل حملات باج‌افزاری ممکن است. آن‌ها موفق شده بودند و این اصلاً خبر خوبی برای ما کاربران معمولی نیست.

اگرچه PromptLock در دنیای واقعی رها نشده بود، اما مجرمان واقعی بیکار ننشسته‌اند. همان‌طور که من و شما از هوش مصنوعی برای نوشتن ایمیل یا برنامه‌ریزی روزانه استفاده می‌کنیم، هکرها هم از این ابزارها برای کاهش زمان و تلاش لازم جهت انجام یک حمله استفاده می‌کنند. در واقع، هوش مصنوعی سد ورود را برای هکرهای نابلد و تازه‌کار به شدت پایین آورده است.

چرا این موضوع همین حالا برای شما اهمیت دارد؟

لورنزو کاوالارو، استاد علوم کامپیوتر در لندن، معتقد است افزایش حملات سایبری با کمک هوش مصنوعی دیگر یک احتمال دور نیست، بلکه یک «واقعیت محض» است. اگرچه هنوز با هکرهای فوق‌هوشمند فاصله داریم، اما خطرات فوری‌تری مثل دیپ‌فیک‌ها و ایمیل‌های فریبنده بسیار واقعی‌تر از آن چیزی هستند که فکرش را می‌کنید.

شاید بپرسید خب، این هوش مصنوعی دقیقاً چه تغییری در کلاهبرداری‌ها ایجاد کرده؟ پاسخ ساده است: حجم و کیفیت. مایکروسافت گزارش داده که تنها در یک سال، بیش از ۴ میلیارد دلار تراکنش کلاهبرداری را مسدود کرده که بخش بزرگی از آن‌ها با کمک محتوای تولید شده توسط هوش مصنوعی انجام شده است. حالا دیگر تشخیص یک ایمیل جعلی از واقعی تقریباً غیرممکن شده است.

کلاهبرداری ۲۵ میلیون دلاری؛ قدرت وحشتناک دیپ‌فیک

بگذارید یک داستان واقعی و تکان‌دهنده برایتان بگویم. در سال ۲۰۲۴، یکی از کارمندان شرکت مهندسی آرآپ (Arup) در یک تماس ویدئویی شرکت کرد که در آن مدیر مالی شرکت و چندین همکار دیگر حضور داشتند. همه چیز کاملاً عادی به نظر می‌رسید، اما واقعیت این بود که تمام آن افراد، نسخه‌های دیجیتالی و دیپ‌فیک بودند! نتیجه؟ آن کارمند ۲۵ میلیون دلار به حساب کلاهبرداران واریز کرد.

اینجاست که باید کمی مکث کنیم. تکنولوژی تولید تصویر، صدا و ویدئو آنقدر پیشرفت کرده که با داده‌های بسیار کمی می‌توان هویت یک نفر را جعل کرد. هنری آجدر، کارشناس هوش مصنوعی، می‌گوید مجرمان این کار را برای سرگرمی انجام نمی‌دهند؛ آن‌ها این کار را می‌کنند چون جواب می‌دهد و پول‌ساز است. و تا زمانی که ما فریب بخوریم، آن‌ها ادامه خواهند داد.

هوش مصنوعی؛ دستیار مخفی هکرهای تازه‌کار

بیایید با هم صادق باشیم، هک کردن همیشه کار سختی بوده است. اما حالا، بیلی لئونارد از تیم تحلیل تهدید گوگل می‌گوید که مجرمان از ابزارهایی مثل گوگل جمینای (Gemini) دقیقاً مثل کاربران عادی استفاده می‌کنند؛ برای دیباگ کردن کدهای مخرب یا خودکارسازی بخش‌های خسته‌کننده کارشان. آن‌ها حتی به هوش مصنوعی ماموریت می‌دهند تا ایمیل‌های فیشینگ قانع‌کننده‌تری بنویسد.

سوال بزرگ این است: آیا این بدافزارها می‌توانند به جایی برسند که به طور کامل از رادارها پنهان بمانند؟ گوگل متوجه شده که برخی بازیگران وابسته به دولت‌ها سعی کرده‌اند با روش‌های خلاقانه، محافظ‌های امنیتی هوش مصنوعی را دور بزنند. مثلاً هکری وانمود کرده که در یک مسابقه امنیت سایبری شرکت کرده تا جمینای را متقاعد کند نقاط ضعف یک سیستم را به او نشان دهد.

مدل‌های متن‌باز؛ شمشیری دو لبه

اشلی جس، تحلیلگر ارشد اطلاعاتی، هشدار می‌دهد که آینده تهدیدات در مدل‌های هوش مصنوعی متن‌باز (Open-source) نهفته است. چرا؟ چون در این مدل‌ها، مجرمان می‌توانند به راحتی محدودیت‌های اخلاقی و حفاظتی را حذف کنند و مدل را دقیقاً برای اهداف مخرب خود آموزش دهند. مدل‌های شرکت‌های بزرگ مثل OpenAI و Google محافظ‌های سفت و سختی دارند، اما مدل‌های متن‌باز این‌طور نیستند.

محققان دانشگاه نیویورک در پروژه PromptLock از مدل‌های متن‌باز استفاده کردند و متوجه شدند حتی نیازی به «جیل‌بریک» (Jailbreak) یا دور زدن سیستم نداشتند. این مدل‌ها با اینکه ادعای همسویی اخلاقی دارند، اما در عمل به راحتی برای اهداف مخرب مورد استفاده قرار گرفتند. این یعنی ابزار حمله اکنون در دسترس همگان است، نه فقط دولت‌ها یا هکرهای حرفه‌ای.

آیا باید از هکرهای خودکار بترسیم؟

شرکت آنتروپیک (Anthropic) اخیراً گزارش داد که توانسته یک حمله سایبری بزرگ را متوقف کند که ۹۰ درصد آن توسط هوش مصنوعی انجام شده بود. این گروه هکری از دستیار کدنویسی کلاود (Claude Code) برای شناسایی آسیب‌پذیری‌ها استفاده کرده بودند. اما یک نکته امیدوارکننده وجود دارد: هوش مصنوعی هنوز هم دچار «توهم» می‌شود و داده‌های غلط تولید می‌کند، که همین موضوع فعلاً مانع از حملات کاملاً خودکار شده است.

بسیاری از متخصصان مثل مارکوس هاچینز (کسی که حمله جهانی واناکرای را متوقف کرد) معتقدند که نباید بیش از حد نگران «ابر‌هکرهای هوش مصنوعی» باشیم. او می‌گوید توانایی‌های فعلی هوش مصنوعی هنوز به آن سطح نرسیده که بتواند سیستم‌های امنیتی پیشرفته را به تنهایی دور بزند. در واقع، بیشترِ کاری که AI انجام می‌دهد، افزایش بهره‌وری هکرهاست، نه خلق روش‌های کاملاً جدید.

نبرد در جبهه مدافعان؛ هوش مصنوعی علیه خودش

خبر خوب این است که ما هم تنها نیستیم! هوش مصنوعی بهترین ابزار برای شناسایی الگوهای مشکوک است. واسو جاکال از مایکروسافت می‌گوید این شرکت روزانه بیش از ۱۰۰ تریلیون سیگنال مخرب را توسط سیستم‌های هوش مصنوعی خود پردازش می‌کند. در واقع، ما در حال ورود به عصری هستیم که در آن امنیت دیجیتال، نبردی میان هوش مصنوعی خوب و هوش مصنوعی بد است.

محققان هنوز خوش‌بین هستند. بسیاری از روش‌های دفاعی قدیمی، مثل فیلترهای اسپم و آنتی‌ویروس‌های هوشمند، هنوز هم در برابر بدافزارهای ساخته شده توسط AI کارایی دارند. به قول بیلی لئونارد از گوگل، «نور خورشید بهترین ضدعفونی‌کننده است»؛ به این معنی که با به اشتراک گذاشتن اطلاعات درباره تاکتیک‌های جدید هکرها، می‌توانیم همیشه یک قدم جلوتر از آن‌ها بمانیم.

چطور در عصر هوش مصنوعی از خودمان محافظت کنیم؟

حالا که با ابعاد این تهدید آشنا شدید، احتمالاً می‌پرسید چه کاری از دست ما ساخته است؟ اول از همه، باید شکاک بودن را تمرین کنید. اگر یک تماس تصویری یا صوتی مشکوک داشتید، حتی اگر چهره و صدای طرف مقابل کاملاً آشنا بود، از یک کانال دیگر هویت او را تایید کنید. به یاد داشته باشید که دیپ‌فیک‌ها دیگر فقط در فیلم‌های علمی-تخیلی نیستند.

دوم، آپدیت‌های سیستم‌عامل و نرم‌افزارها را هرگز پشت گوش نیندازید. این آپدیت‌ها اغلب شامل وصله‌های امنیتی برای آسیب‌پذیری‌هایی هستند که هکرها با کمک هوش مصنوعی پیدا کرده‌اند. و در نهایت، از احراز هویت دو مرحله‌ای استفاده کنید. این کار ساده، جلوی بسیاری از حملات ناشی از فیشینگ‌های هوشمند را می‌گیرد.

سخن پایانی: آینده در دستان هوشیاری ماست

هوش مصنوعی با سرعتی باورنکردنی در حال تکامل است. اگرچه هنوز تا رسیدن به حملات کاملاً خودمختار و نابودگر فاصله داریم، اما مجرمان هر روز در حال آزمایش روش‌های جدید هستند تا ما را فریب دهند. اما نباید فراموش کنیم که تکنولوژی، همواره یک ابزار است؛ ابزاری که می‌تواند هم برای ساختن و هم برای تخریب استفاده شود.

ما به عنوان علاقه‌مندان به دنیای تکنولوژی، باید هوشیار بمانیم و دانش خود را به‌روز نگه داریم. نیمه تاریک هوش مصنوعی شاید ترسناک به نظر برسد، اما با آگاهی و استفاده از ابزارهای دفاعی درست، می‌توانیم از مزایای بی‌شمار این فناوری بدون افتادن در دام‌های دیجیتال لذت ببریم. پس مراقب باشید، کنجکاو بمانید و همیشه قبل از کلیک کردن، یک بار دیگر فکر کنید!

منبع:

https://www.technologyreview.com/2026/02/12/1132386/ai-already-making-online-swindles-easier/