شهد العام 2025 تحولًا دراماتيكيًا في المشهد السيبراني، حيث بدأ الجهات الفاعلة في استغلال أدوات الذكاء الاصطناعي المتاحة على نطاق واسع كسلاح لشن هجمات ذات سرعة ودقة غير مسبوقتين. وقد أدى هذا التطور إلى تقليص كبير في الوقت اللازم للوصول الكامل إلى نطاق الشبكة.
وفقًا لتقرير “CrowdStrike” العالمي للتهديدات لعام 2026، لوحظ ارتفاع بنسبة 89% في الهجمات التي تنفذها جهات فاعلة مدعومة بالذكاء الاصطناعي. استخدم المجرمون الأتمتة والنصوص البرمجية المولدة آليًا لتقليص الفترة الزمنية بين الدخول الأولي إلى الشبكة والوصول الكامل إلى النطاق إلى أقل من 30 دقيقة.
الذكاء الاصطناعي سلاح جديد في أيدي المخترقين
أصبحت سرعة الاختراق السمة المميزة للمشهد السيبراني في عام 2025. انخفض متوسط الوقت الذي تستغرقه هجمات البرمجيات الخبيثة (eCrime) للانتقال من نقطة الدخول الأولية إلى الانتشار في أنظمة أخرى إلى 29 دقيقة فقط، مما يمثل زيادة بنسبة 65% مقارنة بعام 2024. وفي إحدى الحالات الموثقة، بدأ استخلاص البيانات في غضون أربع دقائق فقط من الوصول الأولي، مما ترك للمنظمات وقتًا ضئيلًا للاستجابة.
أشار محللو “CrowdStrike” إلى أن أساليب تسريع هذه الهجمات مرتبطة ارتباطًا وثيقًا بإساءة استخدام الذكاء الاصطناعي. لم يكتفِ المهاجمون ببناء برمجيات خبيثة مخصصة، بل قاموا بحقن أوامر ضارة في أدوات الذكاء الاصطناعي المشروعة التي تعمل داخل بيئات الضحايا.
في أغسطس 2025، قام مهاجمون بتضمين نصوص برمجية خبيثة في حزم “Node Package Manager” (npm)، مما سمح لهم بالاستيلاء على أدوات الذكاء الاصطناعي المحلية للضحايا مثل “Claude” و”Gemini” لسرقة بيانات الاعتماد والأصول من العملات المشفرة. وقد استجابت فرق “CrowdStrike Services” و”OverWatch” لأكثر من 90 عميلًا متأثرًا.
مثال بارز على ذلك كان مجموعة “CHIPPY SPIDER”، وهي جهة إجرامية استهدفت شركة محاماة أمريكية عبر التصيد الصوتي، حيث أقنعت موظفًا بمنح الوصول عن بُعد عبر “Microsoft Quick Assist”. في غضون أربع دقائق، حاول “CHIPPY SPIDER” إرسال الملفات المسروقة إلى بنية تحتية يتحكم بها المهاجمون باستخدام “WinSCP”. وعندما منع جدار الحماية هذه المحاولة، تحول المهاجمون إلى “Google Drive”. تمكنت “CrowdStrike OverWatch” من وقف عملية الاستخلاص قبل مغادرة أي بيانات للشبكة.
بالإضافة إلى العمليات الفردية، قامت جهات فاعلة مثل “FAMOUS CHOLLIMA” ببناء خطوط هجوم مدعومة بالذكاء الاصطناعي عبر مراحل متعددة. استخدموا أدوات مثل “ChatGPT” و”Gemini” و”GitHub Copilot” و”VSCodium” لإنشاء شخصيات وهمية، وإدارة حسابات متعددة، وتنفيذ مهام فنية تحت هويات احتيالية. وقد تضاعف نشاطهم في عام 2025 مقارنة بعام 2024، مما يعكس كيف قلل الذكاء الاصطناعي من الجهد المطلوب لتنفيذ عمليات احتيال واسعة النطاق.
كيف تستغل الجهات الخبيثة الذكاء الاصطناعي عبر سلسلة الهجوم
استخدمت مجموعة “PUNK SPIDER”، وهي أكثر جهة فاعلة في مجال برامج الفدية نشاطاً في عام 2025 مع 198 محاولة اختراق موثقة، نصوصًا برمجية مولدة بواسطة “Gemini” لسحب بيانات الاعتماد من قواعد بيانات “Veeam Backup & Replication”، ومن المرجح أنها اعتمدت على نصوص مولدة بواسطة “DeepSeek” لإنهاء الخدمات وتدمير الأدلة الجنائية.
قامت الجهة الفاعلة المرتبطة بروسيا، “FANCY BEAR”، بنشر برمجية “LAMEHUG” الخبيثة، والتي استعلمت عن نموذج لغة كبير “Qwen2.5-Coder-32B-Instruct” من “Hugging Face” عبر أوامر مبرمجة لسلك الاستطلاع وجمع المستندات قبل عملية الاستخلاص. وقد حل هذا محل منطق التعليمات البرمجية الجامد بمخرجات مولدة بالذكاء الاصطناعي، مما سمح بتجاوز أدوات الأمان الاستاتيكية.
من الجدير بالذكر أن 82% من جميع الاكتشافات في عام 2025 كانت خالية من البرمجيات الخبيثة التقليدية، مما يعني أن معظم الهجمات تمت عبر مسارات مصرح بها بدلاً من البرامج الضارة التقليدية. ويوصى للمنظمات بمراقبة استخدام أدوات الذكاء الاصطناعي على نقاط النهاية، وتحديث منصات الذكاء الاصطناعي بشكل عاجل، وتدقيق الاعتماديات في “npm”، والحفاظ على رؤية شاملة عبر مجالات الهوية والسحابة وبيئات SaaS للكشف عن الهجمات السريعة قبل انتشارها.