كشف تقرير جديد عن استخدام أداة مفتوحة المصدر تعتمد على الذكاء الاصطناعي، تُدعى CyberStrikeAI، في حملات تستهدف أجهزة Fortinet FortiGate. وقد وثقت فرق الأمن السيبراني هذه الأداة في استغلال ثغرات أمنية حديثة، مما يشير إلى تطور في أساليب الهجوم الرقمي.
قامت فرق من شركة Team Cymru بتحليل مفصل لعنوان IP مرتبط بالهجمات، والذي يُرجح أنه يعود لجهة فاعلة تتحدث بالروسية، حيث استخدمت هذه الجهة الأداة لإجراء عمليات مسح واسعة النطاق ومؤتمتة بحثاً عن الأجهزة المعرضة للخطر.
ووفقاً للباحث الأمني Will Thomas، فإن CyberStrikeAI تُعد أداة هجومية أمنية مفتوحة المصدر تعتمد على الذكاء الاصطناعي، تم تطويرها بواسطة مطور صيني يُعتقد أن له ارتباطات بالحكومة الصينية.
CyberStrikeAI: أداة جديدة في ترسانة الهجوم السيبراني
جاءت تفاصيل النشاط المعتمد على الذكاء الاصطناعي هذا إلى النور الشهر الماضي، عندما كشفت Amazon Threat Intelligence عن مداهمات منظمة لأجهزة FortiGate باستخدام خدمات الذكاء الاصطناعي التوليدي مثل Anthropic Claude وDeepSeek، مما أثر على أكثر من 600 جهاز في 55 دولة.
وبحسب الوصف المنشور على مستودع GitHub الخاص بالأداة، فإن CyberStrikeAI مكتوبة بلغة Go وتتضمن أكثر من 100 أداة أمنية. تهدف هذه الأدوات إلى تسهيل اكتشاف الثغرات، وتحليل سلاسل الهجوم، واسترجاع المعلومات، وتصوير النتائج. ويشرف على تطويرها مطور صيني يستخدم الاسم المستعار Ed1s0nZ.
وأشارت Team Cymru إلى أنها رصدت 21 عنوان IP فريداً يقوم بتشغيل CyberStrikeAI بين 20 يناير و26 فبراير 2026. وقد تركزت خوادم هذه الأدوات بشكل أساسي في الصين وسنغافورة وهونغ كونغ، مع وجود خوادم إضافية مرتبطة بها في الولايات المتحدة واليابان وسويسرا.
بالإضافة إلى CyberStrikeAI، قام حساب Ed1s0nZ بنشر أدوات أخرى تظهر اهتمامه باستغلال نماذج الذكاء الاصطناعي وتجاوز قيودها. تشمل هذه الأدوات أدوات لإضافة علامات مائية رقمية غير مرئية للمستندات، وأداة برامج فدية مكتوبة بلغة Golang، وأداة تستخدم نماذج AI لاكتشاف ثغرات تصعيد الامتيازات.
ومن الأدوات الأخرى المذكورة، أداة لتجاوز قيود ChatGPT، وماسح ضوئي للكشف عن ثغرات تصعيد الامتيازات، وأداة لمراقبة تسرب المعلومات الحساسة وإرسال تنبيهات في حال اكتشاف خرق محتمل للبيانات.
وأوضح Thomas أن الأنشطة على GitHub الخاصة بـ Ed1s0nZ تشير إلى تفاعله مع منظمات تدعم عمليات سيبرانية قد تكون مدعومة من الحكومة الصينية. ويتضمن ذلك شركات صينية خاصة لها صلات معروفة بوزارة أمن الدولة الصينية (MSS).
أحد هذه الشركات هو Knownsec 404، وهي شركة أمنية صينية تعرضت لتسريب كبير لوثائقها الداخلية في أواخر العام الماضي. كشف التسريب عن بيانات الموظفين، والعملاء الحكوميين، وأدوات اختراق، وكميات كبيرة من البيانات المسروقة، بالإضافة إلى تفاصيل العمليات السيبرانية الجارية التي تستهدف دولاً أخرى.
تداعيات استخدام CyberStrikeAI
وصف تقرير نشرته DomainTools في يناير الماضي شركة KnownSec بأنها “متعاقد سيبراني متحالف مع الدولة” قادر على دعم أهداف الأمن القومي والاستخبارات والأهداف العسكرية الصينية، مشيراً إلى أن لديها منظمة سرية تعمل لصالح جيش التحرير الشعبي ووزارة أمن الدولة.
في الآونة الأخيرة، لوحظ أن Ed1s0nZ يقوم بتعديلات نشطة على ملف README.md في مستودع يحمل الاسم نفسه، حيث قام بإزالة إشارات حول حصوله على جائزة المساهمة من قاعدة البيانات الوطنية الصينية لنقاط الضعف في أمن المعلومات (CNNVD). كما ادعى المطور أن “كل ما تتم مشاركته هنا هو لأغراض البحث والتعلم فقط”.
وتشير الأبحاث إلى أن الصين تدير قاعدتي بيانات لنقاط الضعف: CNNVD وCNVD. وبينما تشرف وزارة أمن الدولة على CNNVD، فإن CNCERT تتحكم في CNVD. وقد كشفت تحقيقات سابقة أن CNNVD تستغرق وقتاً أطول لنشر الثغرات ذات درجات CVSS الأعلى مقارنة بالثغرات ذات الدرجات الأقل.
وأكد Thomas أن محاولة المطور الأخيرة لإزالة الإشارات إلى CNNVD من ملفه الشخصي على GitHub تدل على جهد نشط لإخفاء هذه الارتباطات الحكومية. ويعتقد أن هذا يهدف إلى حماية فعالية الأداة التشغيلية مع تزايد شعبيتها. ومن المتوقع أن يتسارع اعتماد CyberStrikeAI، مما يمثل تطوراً مقلقاً في انتشار أدوات الأمن الهجومية المعززة بالذكاء الاصطناعي.