نماذج اللغة الكبيرة تسرّع دورة برمجيات الفدية لزيادة السرعة والحجم والانتشار متعدد اللغات

تُحدث نماذج اللغات الكبيرة (LLMs) تحولاً جذرياً في كيفية تخطيط عصابات برامج الفدية لهجماتها وتنفيذها. بدلاً من ابتكار أنواع جديدة من البرامج الضارة، تعمل هذه النماذج على تسريع جميع مراحل دورة حياة برامج الفدية الحالية، بدءاً من جمع المعلومات الاستخباراتية وصولاً إلى الابتزاز.

تتيح نماذج اللغات الكبيرة للعصابات كتابة رسائل تصيد احتيالي بطلاقة، وتوطين ملاحظات الفدية، وفرز البيانات المسروقة بلغات متعددة في دقائق بدلًا من أيام.

ويُعد تسريع دورة حياة برامج الفدية باستخدام نماذج اللغات الكبيرة اتجاهًا ملحوظًا بالفعل عبر أنظمة الجريمة الإلكترونية، مما يرفع إيقاع ومدى عمليات الابتزاز بشكل عام.

نماذج اللغات الكبيرة تسرّع دورة حياة برامج الفدية

يستخدم المهاجمون نماذج اللغات الكبيرة كبديل مباشر لسير العمل المؤسسي المعتاد.

فبينما يستخدم فريق المبيعات نموذج لغة كبير لتنظيف البيانات وصياغة حملات التواصل، يقوم مشغلو برامج الفدية بإدخال مجموعات من المستندات المسربة ويطلبون من النموذج تحديد الملفات عالية القيمة، أو المشاريع الحساسة، أو النزاعات القانونية التي يمكن أن تزيد من ضغوط الفدية.

وينطبق النمط نفسه على إعداد البنية التحتية؛ حيث يمكن للممثلين ذوي المهارات المنخفضة استخدام هذه النماذج للحصول على إرشادات خطوة بخطوة بلغة بسيطة حول كيفية إعداد خوادم القيادة والتحكم (C2)، أو بناء حمولات تحميل أساسية، أو كتابة نصوص برمجية للأتمتة.

وقد لاحظ باحثون في SentinelOne Labs أن نماذج اللغات الكبيرة تخفض حواجز الدخول، بينما تساعد أيضًا العصابات الحالية على التحرك بسرعة أكبر عبر لغات، وأنظمة تقنية، ومناطق متعددة.

ولم يلاحظ الباحثون ظهور “برامج ضارة فائقة”، بل مكاسب واضحة في السرعة والحجم والوصول متعدد اللغات، خاصة حيث تساعد نماذج اللغات الكبيرة في الأدوات، وفرز البيانات، والمفاوضات.

في الوقت نفسه، يتشظى المشهد التقليدي لبرامج الفدية إلى العديد من العصابات الصغيرة والمتشابهة، مع تداخل الجهات الفاعلة المرتبطة بالدول والجهات الإجرامية في أنظمة بيئية مشتركة.

اتجاهات حديثة في استخدام نماذج اللغات الكبيرة

يعد الاتجاه الرئيسي هو استخدام النماذج المحلية المستضافة ذاتيًا، مثل Ollama، والتي تساعد المهاجمين على التحايل على قيود المزودين.

بدلاً من طلب مجموعة برامج فدية شاملة من نموذج لغة سحابي واحد، يقوم المشغلون بتقسيم المهمة إلى أجزاء تبدو حميدة ويوزعونها عبر جلسات ونماذج متعددة.

ويتمثل مثال بسيط في إنشاء أجزاء صغيرة من التعليمات البرمجية ثم تجميعها معًا في وضع عدم الاتصال:

# الجزء 1: مستكشف الملفات
for root, dirs, files in os.walk(start_dir):
    for name in files:
        process_file(os.path.join(root, name))

# الجزء 2: XOR بسيط
def xor(data, key):
    return bytes(b ^ key for b in data)

لا يبدو أي من هذه الاستعلامات بمفردها كبرنامج فدية، ولكن عند دمجها مع تطبيق مكتوب من قبل المهاجم، يمكن أن تشكل روتين تشفير وحمولة سرقة بيانات.

حددت SentinelLabs أدوات إثبات المفهوم المبكرة مثل PromptLock وMalTerminal التي تدمج استعلامات نماذج اللغات الكبيرة ومفاتيح واجهة برمجة التطبيقات مباشرة في التعليمات البرمجية. وهذا يوضح كيف يمكن لبرامج الفدية المستقبلية استدعاء نماذج محلية أو بعيدة في وقت التشغيل لتوليد أو تكييف حمولات عند الطلب.

يشير هذا النمط من “الاستعلامات كتعليمات برمجية” إلى الخطر الحقيقي المستقبلي: عمليات الابتزاز الصناعية والمتعددة اللغات المدعومة بسير العمل المعجل بالذكاء الاصطناعي، بدلاً من الأشكال الجديدة جذريًا للبرامج الضارة.