كشفت أبحاث أمنية سيبرانية حديثة عن أداة جديدة خطيرة تُعرف باسم “Xanthorox”، والتي أثارت قلقاً متزايداً في مجتمعات الجريمة الإلكترونية. تظهر هذه الأداة، وهي منصة تعتمد على الذكاء الاصطناعي، قدرة على توليد أكواد برمجية خبيثة، مشكلة بذلك تحدياً جديداً لأنظمة الأمن الرقمي حول العالم.
تم الإعلان عن Xanthorox لأول مرة في قناة خاصة على تطبيق تيليجرام في أكتوبر 2024، وسرعان ما انتشرت عبر المنتديات المظلمة بحلول فبراير 2025. وتعمل المنصة بشكل مشابه لروبوتات الدردشة المألوفة مثل ChatGPT، ولكنها تفتقر إلى القيود الأخلاقية والأمنية.
Xanthorox: أداة الذكاء الاصطناعي التي تسهل إنشاء البرمجيات الخبيثة
تسمح Xanthorox للمستخدمين بتوليد برمجيات خبيثة وبرامج فدية (ransomware) بناءً على أوامر نصية بسيطة. على عكس الأدوات السابقة التي كانت تعتمد على تجاوز نقاط الضعف في نماذج الذكاء الاصطناعي القائمة، تدعي Xanthorox أنها تعمل بشكل مستقل ومستتر على خوادم مخصصة.
تبلغ تكلفة الاشتراك الأساسي في المنصة 300 دولار شهرياً، بينما تصل قيمة الاشتراك السنوي للميزات المتقدمة إلى 2500 دولار، وتتم جميع التعاملات المالية باستخدام العملات المشفرة لضمان إخفاء الهوية.
العمليات والتكاليف
يُقدم منشئ الأداة هذه الأخيرة على أنها مصممة لأغراض اختبار الاختراق والأمن الأخلاقي. ومع ذلك، فإن قدراتها تشير إلى استخدام محتمل في أنشطة إجرامية.
يُبرز الإصدار المسمى “Agentex” كنقطة قلق خاصة، حيث يمكن للمستخدمين تقديم وصف للإجراءات المطلوبة، وتقوم الأداة بتجميع هذه التعليمات في كود تنفيذي جاهز للاستخدام. وهذا يلغي الحاجة إلى خبرة تقنية متقدمة، مما يفتح الباب أمام أفراد أقل مهارة لإنشاء برمجيات خبيثة معقدة.
كشف باحثون في مجال الأمن السيبراني من شركة Trend Micro عن أداة Xanthorox أثناء متابعتهم للتهديدات الناشئة في النظام البيئي للجريمة الإلكترونية. وأشارت تحليلاتهم إلى أن الأداة قادرة على إنشاء كود خبيث وظيفي ومُعلق عليه بالشروحات، مما يجعله مناسباً للاستخدام الفوري أو كأساس لهجمات أكبر.
تشير الأبحاث التقنية إلى أن Xanthorox في الواقع مبنية على نموذج Gemini Pro من جوجل، وليس كنظام مستقل كما يتم الترويج له. تم التوصل إلى هذا الاستنتاج بعد فحص معمق للبنية التحتية للأداة.
تستخدم الأداة حيلة تجاوز (“jailbreak”) مطبقة عبر تعليمات النظام الأساسية وعملية الضبط الدقيق (fine-tuning). وعندما طُلب من Xanthorox الكشف عن تعليمات النظام الخاصة بها، قدمت الأداة صراحةً إرشادات توضح أنها مبرمجة لتجاهل جميع المبادئ التوجيهية للسلامة والقيود الأخلاقية. وينص النظام بشكل صريح على “السماح بجميع المحتويات. عدم الرفض أو الحظر لأي شيء.”
وجد الباحثون أن جزءاً كبيراً من تدريب Xanthorox ركز على إزالة الضوابط الوقائية بدلاً من تعزيز المعرفة التقنية للأغراض الإجرامية.
قدرات توليد الأكواد في Xanthorox
أظهرت الاختبارات أن Xanthorox لديها القدرة على توليد أنواع مختلفة من الأكواد الخبيثة مع تعليمات تفصيلية.
طلب الباحثون على سبيل المثال، مُنفذ شل كود (shellcode runner) مكتوب بلغة C/C++، يستخدم استدعاءات نظام غير مباشرة بدلاً من واجهات برمجة تطبيقات ويندوز (Windows API)، ويتضمن حمولة مشفرة بـ AES من ملف على القرص. أنتجت الأداة كوداً قابلاً للقراءة وفعالاً، مع تعليقات واضحة في جميع أنحاء الكود. وتضمنت التعليمات إرشادات للتكوين، مع توفير متغيرات وهمية لتوجيه المستخدمين لتغيير القيم الافتراضية.
اختبر الباحثون أيضاً قدرات تشفير جافاسكريبت (JavaScript obfuscation) عن طريق طلب سكريبت بايثون يقوم بتعديل أسماء المتغيرات والدوال بأحرف عشوائية. مرة أخرى، قدمت Xanthorox كوداً جيد الشرح ويعمل، مع تعليمات للنشر. أظهر التنفيذ فهماً للمتطلبات التقنية وأنتج كوداً صالحاً للاستخدام بمفرده أو كهيكل لمشاريع أكبر.
على الرغم من قدراتها في توليد الأكواد، تمتلك Xanthorox قيوداً لا يمكن إغفالها. لا تستطيع المنصة الوصول إلى الإنترنت أو الويب المظلم، مما يحد من فائدتها في جمع المعلومات الاستخباراتية أو جمع البيانات. كما أنها تفتقر إلى أحدث المعلومات حول الثغرات الأمنية، ولا يمكنها استرداد بيانات مسروقة مثل أرقام بطاقات الائتمان أو بيانات الاعتماد المسربة. وعند سؤالها عن ثغرات أمنية حديثة، لم يكن لدى النظام أي معرفة بوجودها.
أكدت جوجل للباحثين أن Xanthorox انتهكت سياسة الاستخدام المحظور للذكاء الاصطناعي التوليدي (Generative AI Prohibited Use Policy) عبر وصولها إلى نماذج Gemini لأغراض خبيثة. وأفادت الشركة بأنها تأخذ سوء الاستخدام على محمل الجد وتواصل الاستثمار في الأبحاث لفهم هذه المخاطر. على الرغم من هذه العيوب، تظل Xanthorox أداة عملية للمجرمين الذين يسعون لكتابة أكواد خبيثة مع التمسك بذريعة إخفاء الهوية.