حذرت شركة جوجل من أن العديد من عائلات البرمجيات الخبيثة الجديدة تستخدم الآن نماذج لغوية كبيرة أثناء التنفيذ لتعديل أو إنشاء تعليمات برمجية، مما يمثل مرحلة جديدة في كيفية قيام الجهات الفاعلة الإجرامية والمرتبطة بالدولة بنشر الذكاء الاصطناعي في العمليات الحية.
في أ تقرير قالت مجموعة Google Threat Intelligence Group، التي صدرت هذا الأسبوع، إنها تتبعت ما لا يقل عن خمس سلالات مختلفة من البرامج الضارة التي تدعم الذكاء الاصطناعي، والتي تم استخدام بعضها بالفعل في هجمات مستمرة ونشطة.
وذكرت مجموعة استخبارات التهديدات أن عائلات البرامج الضارة التي تم تحديدها حديثًا “تقوم بشكل ديناميكي بتوليد نصوص برمجية ضارة، وتحجب التعليمات البرمجية الخاصة بها لتجنب اكتشافها”، بينما تستخدم أيضًا نماذج الذكاء الاصطناعي “لإنشاء وظائف ضارة عند الطلب”، بدلاً من تشفيرها بشكل ثابت في حزم البرامج الضارة.
يستفيد كل متغير من نموذج خارجي مثل Gemini أو Qwen2.5-Coder أثناء وقت التشغيل لإنشاء التعليمات البرمجية أو التعتيم عليها، وهي طريقة أطلق عليها GTIG اسم “إنشاء التعليمات البرمجية في الوقت المناسب تمامًا”.
تمثل هذه التقنية تحولًا من تصميم البرامج الضارة التقليدية، حيث يتم عادةً ترميز منطق البرامج الضارة بشكل ثابت في النظام الثنائي.
من خلال الاستعانة بمصادر خارجية لأجزاء من وظائفها لنموذج الذكاء الاصطناعي، يمكن للبرامج الضارة إجراء تغييرات بشكل مستمر لتقوية نفسها ضد الأنظمة المصممة لردعها.
توضح اثنتان من عائلات البرامج الضارة، PROMPTFLUX وPROMPTSTEAL، كيف يقوم المهاجمون بدمج نماذج الذكاء الاصطناعي مباشرة في عملياتهم.
يصف الموجز الفني لـ GTIG كيف تدير PROMPTFLUX عملية “Thinking Robot” التي تستدعي واجهة برمجة تطبيقات Gemini كل ساعة لإعادة كتابة كود VBScript الخاص بها، بينما PROMPTSTEAL، المرتبطة بـ روسيا مجموعة أبت28يستخدم نموذج كوين مستضاف على Hugging Face لإنشاء أوامر Windows عند الطلب.
حددت المجموعة أيضًا نشاطًا لمجموعة كورية شمالية تُعرف باسم UNC1069 (Masan) أساءت استخدام Gemini.
وتصف وحدة أبحاث جوجل المجموعة بأنها “جهة تهديد كورية شمالية معروفة بشن حملات لسرقة العملات المشفرة مستفيدة من الهندسة الاجتماعية”، مع استخدام ملحوظ “لللغة المتعلقة بصيانة الكمبيوتر وجمع بيانات الاعتماد”.
وفقًا لشركة جوجل، تضمنت استفسارات المجموعة إلى Gemini تعليمات لتحديد موقع بيانات تطبيق المحفظة، وإنشاء نصوص برمجية للوصول إلى التخزين المشفر، وتأليف محتوى تصيد متعدد اللغات يستهدف موظفي بورصة العملات المشفرة.
وأضاف التقرير أن هذه الأنشطة تبدو جزءًا من محاولة أوسع لبناء كود قادر على سرقة الأصول الرقمية.
وقالت جوجل إنها قامت بالفعل بتعطيل الحسابات المرتبطة بهذه الأنشطة وقدمت ضمانات جديدة للحد من إساءة استخدام النموذج، بما في ذلك مرشحات المطالبة المحسّنة والمراقبة الأكثر صرامة للوصول إلى واجهة برمجة التطبيقات.
يمكن أن تشير النتائج إلى سطح هجوم جديد حيث تستعلم البرامج الضارة عن LLMs في وقت التشغيل لتحديد موقع تخزين المحفظة، وإنشاء نصوص برمجية مخصصة للتصفية، وصياغة إغراءات تصيد موثوقة للغاية.
فك التشفير لقد اتصلت بشركة Google بشأن الكيفية التي يمكن بها للنموذج الجديد أن يغير أساليب نمذجة التهديد وإسناده، لكنه لم يتلق ردًا بعد.