أعلنت شركة Anthropic عن تقرير جديد يسلط الضوء على استخدام مجموعة تجسس صينية لذكاء اصطناعي خاص بها، وهو كلود (Claude AI)، في اختراق ما لا يقل عن 30 منظمة. يأتي هذا الكشف ليؤكد المخاوف المتزايدة بشأن استغلال الذكاء الاصطناعي التوليدي في عمليات الهجوم السيبراني.
ووفقاً للتقرير، نجحت المجموعة في التحايل على الإجراءات الأمنية لنموذج كلود عبر أسلوبين رئيسيين؛ الأول يتمثل في تقسيم المهام إلى أجزاء صغيرة لمنع البرنامج من التعرف على النوايا الخبيثة الشاملة، والثاني خداع النموذج لجعله يعتقد أنه يجري تدقيقاً أمنياً مشروعاً.
استخدامات متطورة للذكاء الاصطناعي في الهجمات السيبرانية
أشار جاكوب كلاين، رئيس فريق استخبارات التهديدات في Anthropic، إلى ملاحظة الشركة لزيادة في الاستخدامات المبتكرة لنموذج كلود لمساعدة المهاجمين السيبرانيين خلال العام الماضي. ففي مارس، كان المهاجمون ينسخون ويلصقون من تفاعلات روبوت المحادثة لمحاولة بناء برمجيات خبيثة أو حملات تصيد احتيالي. ومع إطلاق أداة تطوير الأكواد الخاصة بالشركة، وهو Claude Code، شهدت الشركة استغلالاً للمشغلات السيئة لتوليد نصوص برمجية وبناء أكواد لعملياتهم بشكل أسرع.
وأضاف كلاين أن العملية الأخيرة في سبتمبر تمثل “أكثر حالات إساءة الاستخدام استقلالية حتى الآن”. ومع ذلك، أوضح كلاين أن مصطلح “الأكثر استقلالية” نسبي، حيث أن هناك مؤشرات قوية على أن مجموعة القرصنة هذه قد كرست موارد بشرية وتقنية كبيرة في طريقة استخدامها لنموذج كلود.
هيكل متقدم ودعم بشري
جعلت التكتيكات التي تفصلها Anthropic في تقريرها، وهي الأتمتة التي يقوم بها نموذج كلود، مدعومة بإطار عمل متقدم مصمم لتنسيق ودعم عملياته. تولى هذا الإطار مهام مثل كتابة النصوص البرمجية، وتوفير الخوادم ذات الصلة، وتطوير خلفي كبير لضمان اتباع كل خطوة بشكل صحيح. وأكد كلاين أن عملية التطوير هذه كانت الجزء الأصعب، والأهم من ذلك، أنها كانت تتم بقيادة بشرية.
وصيفاً، لا يتسم الجزء الأول بالاستقلالية، بل يتطلب وجود إنسان لوضع كل شيء معاً. كان هناك مشغل بشري يقوم بإدخال الهدف، ثم النقر على زر، ليبدأ استخدام الإطار العملي الذي تم إنشاؤه مسبقاً. وأضاف أن بناء هذا الإطار كان الجزء الأكثر صعوبة في النظام بأكمله، وهذا كله تطلب جهداً بشرياً مكثفاً.
التفاعل مع الأدوات الخارجية والإشراف البشري
علاوة على ذلك، لتنفيذ استطلاع عن الأهداف، وفحص الثغرات، وتنفيذ مهام أخرى، كان نموذج كلود يتفاعل مع مجموعة من أدوات المصادر المفتوحة عبر خوادم بروتوكول سياق النموذج (MCP)، والتي تساعد نماذج الذكاء الاصطناعي على الارتباط بأمان بالأدوات الرقمية الخارجية. ويتطلب إعداد هذه الاتصالات خبرة برمجية وتخطيطاً متقدماً وعملاً تقنياً من قبل البشر لضمان التشغيل البيني.
وأخيراً، كان عمل نموذج كلود خاضعاً للتحقق والمراجعة البشرية المستمرة. يوضح مسار الهجوم ما لا يقل عن أربع خطوات مختلفة تتضمن بشكل صريح قيام شخص بفحص مخرجات النموذج أو إعادة إرساله للعمل قبل اتخاذ خطوات إضافية.
تأثير تقرير Anthropic على أمن الذكاء الاصطناعي
تشير هذه التطورات إلى أنه على الرغم من قدرة نموذج كلود على أداء هذه المهام بشكل مستقل، إلا أنه كان يعتمد بشكل كبير على الإشراف البشري لمراجعة المخرجات، والتحقق من النتائج، وضمان عمل الأنظمة الخلفية، وتوجيه الخطوات التالية.
يسلط تقرير Anthropic الضوء على ثغرة شائعة في جميع الأبحاث التي يولدها الذكاء الاصطناعي؛ فغالباً ما تقوم نماذج مثل Claude بتوليد معلومات خاطئة، أو اختلاق بيانات اعتماد، أو المبالغة في النتائج، أو تقديم معلومات متاحة للجمهور على أنها اكتشافات هامة. ولهذا السبب، فإن استخدام الأبحاث التي يولدها الذكاء الاصطناعي أمر صعب؛ حيث لا توجد طريقة موثوقة للمستخدمين، بما في ذلك المهاجمين، للوثوق بالمخرجات في كل مرحلة دون وجود خبراء بشريين تقنيين لمراجعة وتصحيح النتائج.
على سبيل المثال، فيما يتعلق بفحص الثغرات، فإن “الخطوة الأولى هي أن يعود نموذج كلود ويقول ‘هذه كل الأصول التي وجدتها متعلقة بالهدف،’ ثم يتم إرسالها إلى المشغل البشري،” كما أوضح كلاين. “وبالتالي، لا ينتقل نموذج كلود إلى الخطوة التالية، وهي خطوة اختبار الاختراق، إلا بعد مراجعة الإنسان.”
توجهات نحو الجرائم السيبرانية المتقدمة
على الرغم من كل التدخل البشري، أعرب كلاين عن قلقه الشديد بشأن ما اكتشفته الشركة. وأضاف: “أعتقد أن ما يحدث هنا هو أن المشغل البشري قادر على توسيع نطاقه بشكل كبير.” واستكمل: “نعتقد أن الأمر كان سيتطلب فريقاً مكوناً من حوالي 10 أشخاص لإجراء هذا النوع من العمل، ولكنه لا يزال يتطلب مشغلاً بشرياً. ولهذا السبب قلنا إنه ليس تلقائياً بالكامل أو وكيلاً بالكامل.”
وحول الأسباب التي تجعل Anthropic تعتقد أن هذه الحملة مرتبطة بالصين، أشار كلاين إلى عدد من العوامل، بما في ذلك تداخل البنية التحتية والسلوك مع جهات فاعلة سابقة ترعاها الدولة الصينية، ومجموعة مستهدفة تتوافق بقوة مع “ما كان سيكون أهداف” وزارة أمن الدولة الصينية.
تداعيات على أمن المعلومات وسيادة الدول
بالإضافة إلى ذلك، أشارت التفاصيل الثانوية والظرفية الأخرى إلى وجود صلة صينية محتملة؛ فبينما تشير سجلات الاستخدام إلى أن المجموعة كانت تعمل في الغالب “من الساعة 9 صباحاً حتى 6 مساءً مثل موظف بيروقراطي قياسي،” فإن القراصنة لم يعملوا في عطلات نهاية الأسبوع، وفي إحدى المراحل خلال العملية، لم تظهر أي نشاط خلال عطلة صينية. ومع ذلك، لم تكن هذه هي الأدلة الوحيدة، حيث ذكر كلاين أنه لا يستطيع الكشف عن كل المعلومات التي وجهتهم إلى الصين.
خبراء الذكاء الاصطناعي يتناقشون
في حين أن الأبحاث حول الدور الذي يلعبه الذكاء الاصطناعي في عمليات التجسس السيبراني لا تزال محدودة، إلا أن هناك أدلة وفيرة تشير إلى أن نماذج اللغات الكبيرة قد تحسنت بشكل كبير على مدار العام الماضي عند توجيهها بمهام محددة في مجال الأمن السيبراني. وفي وقت سابق من هذا العام، تصدرت الأداة التي طورها مشروع XBOW لفحص الثغرات وإصلاحها بالذكاء الاصطناعي قوائم المتصدرين في شركات مكافآت الثغرات مثل HackerOne.
وعلى الجانب الهجومي، قام باحثون في جامعة نيويورك في وقت سابق من هذا العام بتطوير إطار عمل مشابه للإطار المستخدم في الحملة التي اكتشفتها Anthropic، باستخدام إصدار متاح للجمهور من ChatGPT لأتمتة أجزاء كبيرة من هجوم فدية. ويُعتقد أن تقرير Anthropic هو أول مثال معروف علناً لعملية مماثلة تستخدمها دولة قومية لتنفيذ هجمات ناجحة.
ردود فعل متباينة
على الرغم من هذه التطورات، أحدثت الحملة وتقرير Anthropic ضجة في دوائر الذكاء الاصطناعي والأمن السيبراني، حيث يرى البعض أنها تؤكد المخاوف الحالية بشأن القرصنة المدعومة بالذكاء الاصطناعي، بينما يزعم آخرون أن استنتاجات التقرير تعطي انطباعاً مضللاً حول الحالة الراهنة لعمليات التجسس السيبراني.
وانتقد كيفن بومونت، باحث الأمن السيبراني في المملكة المتحدة، تقرير Anthropic لافتقاره إلى الشفافية، ووصف إجراءات يمكن تحقيقها بالفعل باستخدام الأدوات الموجودة، مع ترك مجال ضيق للتحقق الخارجي. وكتب بومونت على LinkedIn يوم الجمعة: “التقرير لا يحتوي على مؤشرات اختراق، والتقنيات التي يتحدث عنها هي كلها أدوات جاهزة مع اكتشافات موجودة. فيما يتعلق بالمعلومات الاستخباراتية القابلة للتنفيذ، لا يوجد شيء في التقرير.”
وقد صرح كلاين لـ CyberScoop أن Anthropic قد شاركت مؤشرات الاختراق مع الشركات التقنية والمختبرات البحثية والكيانات الأخرى التي لديها اتفاقيات لتبادل المعلومات مع الشركة. وأضاف: “نحن نشارك ضمن الدوائر الخاصة، ولكن الأمر ليس شيئاً أردنا مشاركته مع الجمهور العام.”
التحديات والفرص
جادل مراقبون آخرون بأن نتائج Anthropic لا تزال تمثل علامة فارقة هامة في تطبيق الذكاء الاصطناعي في الأمن السيبراني. وقد صرحت جين إيسترلي، المديرة السابقة لوكالة الأمن السيبراني والبنية التحتية، بأنها تشارك بعض مخاوف المجتمع الأمني بشأن الشفافية، حتى مع تقديرها لـ Anthropic لتسريب الهجمات.
وكتبت إيسترلي يوم الجمعة على LinkedIn: “لا نزال لا نعرف أي المهام تم تسريعها حقاً بواسطة الذكاء الاصطناعي مقابل ما كان يمكن القيام به بالأدوات القياسية.” وأضافت: “لا نعرف كيف عملت سلاسل الوكلاء، وأين حصل النموذج على معلومات خاطئة، وكم مرة اضطر البشر للتدخل، ومدى موثوقية المخرجات فعلياً. بدون مزيد من التفاصيل (الموجهات، عينات الأكواد، حالات الفشل، نقاط الاحتكاك)، من الصعب بالطبع على المدافعين التعلم، والتكيف، وتوقع ما هو قادم.”
وقالت تيفاني سادات، باحثة في مجال الذكاء الاصطناعي ضمن فريق دفاع الذكاء الاصطناعي في Cisco، لـ CyberScoop إنه من الواضح من تقرير Anthropic أن استخدام أدوات مثل Claude يمنح المهاجمين مزايا السرعة والنطاق. وتساءلت: “هل هذا كافٍ” لتحفيز المهاجمين على استخدام نماذج اللغات الكبيرة بدلاً من أشكال الأتمتة الأخرى والتعامل مع قيودها المرتبطة بها؟ “هل سنرى الوكلاء يتجهون أيضاً نحو التعقيد في الهجمات، وما نوع التعقيد الذي نتحدث عنه؟”
وأشارت سادات إلى أن بعض جوانب العملية التي وصفتها Anthropic لا تتناسب مع مجموعة صينية تركز على التجسس بشكل بحت. ولفتت النظر إلى أنه من الغريب أن يستخدم القراصنة نموذج ذكاء اصطناعي أمريكي رئيسي للأتمتة عندما يكون لديهم إمكانية الوصول إلى نماذجهم الخاصة. بالإضافة إلى ذلك، تمتلك شركات مثل Anthropic و OpenAI موارد أكبر بكثير في مجال الأمن السيبراني واستخبارات التهديدات مقارنة بنماذج المصادر المفتوحة، مما يجعل من المحتمل أن يتم اكتشاف أي نشاط خبيث يستخدم منصاتها.
وذكرت سادات: “كنا نعلم أن هذا سيحدث، لكن ما يدهشني هو… إذا كنت جهة فاعلة ترعاها الدولة الصينية وأردت استخدام نماذج الذكاء الاصطناعي ذات القدرات الوكيلة للقيام بالقرصنة المستقلة، ربما لن أذهب إلى Claude للقيام بذلك.” وأضافت: “ربما سأبني شيئاً داخلياً وتحت الغطاء. لذلك أرادوا أن يروا.”
وطرحت سادات دافعاً محتملاً آخر للهجوم: رسالة جيوسياسية إلى واشنطن العاصمة مفادها أن القراصنة الصينيين يمكنهم فعل ما يخشاه الجميع بالضبط. وأضافت: “عادة ما يكون الهدف هو ‘نريد التخفي، نريد الحفاظ على الاستمرارية.’… هذا ليس حتى تخريباً، بل هو إرسال رسالة: الفرضية تم التحقق منها.” وأوضحت: “إنهم يريدون هذه الضجة، والأخبار العاجلة، والعناوين الرئيسية ‘Anthropic تبلغ عن ذلك’. إنهم يريدون هذه الرؤية، ولسبب وجيه يريدون هذه الرؤية.”