شهد عام 2025 تصاعداً ملحوظاً في هجمات الذكاء الاصطناعي، حيث أدت التطورات في نماذج اللغة الكبيرة إلى خفض كبير في حاجز الدخول لتنفيذ هجمات سيبرانية متطورة. أصبح بإمكان الأفراد غير المتخصصين تقنياً استغلال هذه الأدوات لشن هجمات كانت سابقاً حكراً على فرق متمرسة.
في ديسمبر 2025، ألقت السلطات اليابانية القبض على شاب يبلغ من العمر 17 عاماً في أوساكا، بتهمة الوصول غير المصرح به، بعد استخدامه لبرمجيات خبيثة لسرقة بيانات أكثر من 7 ملايين مستخدم من شبكة المقاهي الإنترنتية “كايكاتسو كلوب”. وعند سؤاله عن دوافعه، اعترف بأن رغبته في شراء بطاقات بوكيمون كانت السبب وراء هذا الهجوم.
زيادة في الهجمات المدعومة بالذكاء الاصطناعي
في عام 2025، تجاوزت أنظمة الدردشة والوكلاء المدعومة بنماذج اللغة الكبيرة (LLM) مرحلة المساعدة في البرمجة لتصبح قادرة على إنتاج الشفرات بشكل كامل. وشهد العام مضاعفة في وتيرة وشدة الجرائم السيبرانية. زادت البرمجيات الخبيثة في المستودعات العامة بنسبة 75%، فيما ارتفعت اختراقات السحابة بنسبة 35%، وتجاوزت رسائل التصيد الاحتيالي المولدة بالذكاء الاصطناعي فعالية فرق الاختبار البشرية.
وفي فبراير 2025، استخدم ثلاثة مراهقين، لا يملكون أي خلفية برمجية، تطبيق ChatGPT لإنشاء أداة استهدفت أنظمة “راكوتن موبايل” قرابة 220 ألف مرة، وأنفقوا عائداتهم في شراء وحدات الألعاب والمقامرة عبر الإنترنت. وفي يوليو 2025، شن فرد واحد باستخدام منصة Claude Code المتطورة حملة ابتزاز استهدفت 17 منظمة خلال شهر واحد، مستخدماً الذكاء الاصطناعي لتطوير الشفرات الخبيثة وتنظيم الملفات المسروقة وتحليل السجلات المالية لصياغة المطالب ورسائل الابتزاز.
بينما كانت مثل هذه الهجمات ممكنة قبل عام 2025، تشهد الساحة الآن هجمات يقوم بها فرد واحد، والتي كانت تتطلب سابقاً فرقاً منظمة. كما أصبحت الهجمات واسعة النطاق التي تنفذها أفراد غير تقنيين، مما يوضح انخفاضاً كبيراً في مستوى الخبرة التقنية المطلوبة لشن هجمات سيبرانية.
زيادة معدلات النشاط الخبيث
خلال عام 2025، شهدت مؤشرات نشاط الروبوتات (bot activity)، البرمجيات الخبيثة (malware)، الاختراقات المستهدفة (targeted compromise)، والتصيد الاحتيالي (phishing) زيادات دراماتيكية. في المقابل، قفزت قدرات نماذج اللغة الكبيرة على معايير اختبار الأداء التقني.
وفقاً لشركة Sonatype، بلغ عدد الحزم البرمجية الخبيثة في المستودعات العامة 55 ألفاً في عام 2022، ليرتفع هذا الرقم إلى 454,600 في عام 2025. وشهدت الأعوام 2023 و2025 طفرات ملحوظة، خاصة مع إصدار GPT-4 وظهور أدوات البرمجة المعتمدة على الوكلاء.
أما بالنسبة لقدرة المهاجمين في العالم الواقعي، فقد تغير مفهوم “وقت الاستغلال” (time to exploit) بشكل جذري مقارنة بعصر ما قبل الذكاء الاصطناعي. ويقيس هذا المصطلح المدة الزمنية منذ نشر ثغرة أمنية حتى اكتشاف استغلال لها في البرية.
انخفض هذا الرقم من أكثر من 700 يوم في عام 2020 إلى 44 يوماً فقط في عام 2025. هذا يعني أن المهاجمين أصبحوا يطورون استغلالات للثغرات المعروفة في أقل من شهرين، بدلاً من قرابة عامين. ووفقاً لتقرير Mandiant M-Trends 2026، فإن وقت الاستغلال أصبح سلبياً فعلياً، حيث يتم استغلال الثغرات قبل توفير التحديثات لها، مع استغلال 28.3% من الثغرات المعلنة (CVEs) خلال 24 ساعة من الإفصاح عنها.
خلال أواخر عام 2024 و2025، بلغت قدرات النماذج المتطورة مثل ChatGPT وClaude وGemini في معايير مثل SWE-bench، وهو اختبار لقدرات تطوير البرمجيات، ذروتها. ففي أغسطس 2024، كانت النماذج الرائدة قادرة على حل 33% من مشاكل GitHub الحقيقية، لتصل هذه النسبة إلى ما يقرب من 81% بحلول ديسمبر 2025.
مع تسارع وتيرة تطوير البرمجيات، لا سيما بفضل الذكاء الاصطناعي، تتزايد الهجمات وتزداد خطورتها وتأثيرها، مما يضع تحديات متزايدة أمام الشركات.
صعوبة معالجة الثغرات
يسرّع الذكاء الاصطناعي من وتيرة عمل الطرفين، المدافعين والمهاجمين. لكن البيانات من عامي 2025 و2026 تشير إلى أن سباق التسلح يميل لصالح المهاجمين. متوسط الوقت اللازم لمعالجة ثغرة أمنية خطيرة (high- or critical-severity CVE) أصبح الآن 74 يوماً، وفقاً لتقرير Edgescan 2025 Vulnerability Statistics Report. علاوة على ذلك، فإن 45% من الثغرات في الأنظمة التي تديرها الشركات الكبيرة (أكثر من 1000 موظف) لا يتم معالجتها أبداً.
تعاني المؤسسات أيضاً من ضغط متزايد جراء البرمجيات الخبيثة المكتشفة في مستودعات الحزم العامة. ففي سبتمبر 2025، تسبب هجوم Shai-Hulud الذي استهدف نظام npm في اختراق أكثر من 500 حزمة برمجية. وتم اختراق بيانات أكثر من 487 مؤسسة، وسُرق 8.5 مليون دولار من Trust Wallet بعد أن استخدم المهاجمون بيانات اعتماد مكشوفة لتسميم إضافته في متصفح Chrome. دفعت هذه الهجمات العديد من المؤسسات إلى تجميد عمليات نشر الشفرات.
تتفاقم المشكلة بسبب صعوبة الكشف. ففي عام 2025، تضمنت حزم npm الخبيثة التي انتحلت صفة مكتبات شهيرة مثل chalk وdebug، وثائق واختبارات وحدات (unit tests) وشفرات مبرمجة لتبدو وكأنها وحدات تقارير شرعية. وقد فشلت أدوات التحليل الثابت (static analysis) وأجهزة كشف التوقيع (signature scanners) تماماً في اكتشافها، نظراً لأن الشفرات، والتي غالباً ما تكون مولدة بالذكاء الاصطناعي، بدت وكأنها برمجيات حقيقية. وكما لاحظ دان لورنس، الرئيس التنفيذي لشركة Chainguard، فإن “التعقيد والحجم الهائل لإدارة الثغرات الأمنية قد تجاوز قدرات معظم المؤسسات على إدارتها بمفردها”.
إزالة فئات كاملة من الهجمات
الدرس المستفاد من عام 2025 هو أنه لا يمكن تجاوز هذه الهجمات بالسرعة. نافذة الاستغلال تتقلص أسرع من قدرة دورات إصلاح الثغرات على الانكماش، وتتسلل البرمجيات الخبيثة المولدة بواسطة الذكاء الاصطناعي عبر أدوات الكشف التي اعتمدت عليها المؤسسات لعقود. في السابق، كان تقاطع “المستعدون لشن الهجمات” و”يمتلكون القدرة التقنية على شن الهجمات” يمثل شريحة صغيرة، لكنها تتسع شهراً بعد شهر. وفي الوقت نفسه، نقوم ببناء المزيد من البرمجيات، وبوتيرة أسرع. وإذا كانت هجمات سلسلة التوريد تتوالى بسرعة في عام 2026، فكيف سيكون شكل عام 2027 مع تزايد قدرات النماذج؟
التفكير في السرعة وتجاوز الهجمات لن يخدم الفرق كثيراً في البيئة الحالية. بدلاً من ذلك، يتطلب الأمر استراتيجية تهدف إلى إلغاء فئات كاملة من الثغرات، مما يتيح للفرق التركيز على المجالات المتبقية. ويتبع هذا النهج لـ Chainguard Libraries، التي تعيد بناء كل مكتبة مفتوحة المصدر من شفرة مصدرية تم التحقق منها ومُعرفة المصدر. الهدف من Libraries هو جعل فئات كاملة من الهجمات مستحيلة هيكلياً، وحماية المستخدمين من اختطاف CI/CD، وارتباك التبعية (dependency confusion)، وسرقة الرموز طويلة الأمد، أو هجمات توزيع الحزم. عند اختبارها ضد 8,783 حزمة npm خبيثة، نجحت Chainguard Libraries في حظر 99.7% منها. وضد ما يقرب من 3000 حزمة Python خبيثة، تم حظر حوالي 98%.
شهد العام الماضي 454,600 حزمة خبيثة، و394,877 في ربع واحد فقط. قام هاوٍ في الجزائر بتطوير برمجية فدية استهدفت 85 جهة في شهره الأول. وقام شاب يبلغ من العمر 17 عاماً باستخلاص 7 ملايين سجل للشراء بطاقات بوكيمون. الأدوات التي مكنت هذه الهجمات تصبح أرخص وأسرع وأكثر سهولة. بدلاً من التدافع عندما تضرب الهجمة التالية، يمكن للفِرق التركيز ببساطة على قراءة هذه التطورات بينما تقوم مؤسساتها بملء أنظمة الإنتاج ومديري القطع وأجهزة المطورين من Chainguard Libraries.
ملاحظة: هذا المقال تم إعداده ببراعة وساهم به باتريك سميث، كبير مهندسي تطوير العلاقات في Chainguard.