في الأسبوع الماضي، قال باحثون في شركة Sysdig للأمن السحابي إنهم وثقوا أول حالة معروفة لـ “برنامج الفدية العميل”. لقد كانت عملية ابتزاز، أطلق عليها اسم JadePuffer، حيث كان وكيل الذكاء الاصطناعي – وليس الإنسان – يتولى التنفيذ الفني لهجوم إلكتروني في العالم الحقيقي من البداية إلى النهاية. اخترق العميل خادمًا ضعيفًا، وسرق بيانات الاعتماد، وانتقل عبر شبكة الهدف، وقام بتشفير الملفات، بل وكتب مذكرة فدية خاصة به، وتكيف مع العقبات على طول الطريق مثلما يفعل المتسلل البشري. وصفت تغطية التمويل بأنه يتم تشغيله “دون أي إشراف بشري”، مع “عدم وجود إنسان على لوحة المفاتيح”.
هذا ليس تماما ممتلىء صورة. وفي مقابلة أجريت معه يوم الاثنين مع CyberScoop، أوضح مايكل كلارك من Sysdig، المدير الأول لأبحاث التهديدات في الشركة، أن الإنسان لا يزال متورطًا إلى حد كبير – ولكن ليس في التنفيذ الفني. وقال كلارك: “لا يزال الإنسان يقوم بإعداد العملية وتوجيهها وتوفير البنية التحتية خلفها، وخادم القيادة والتحكم، والخادم المرحلي المستخدم للبيانات المسروقة واختيار الضحية”. وأضاف أن بيانات الاعتماد المستخدمة لاقتحام قاعدة بيانات الضحية لم يتم جمعها بواسطة عميل الذكاء الاصطناعي نفسه؛ وقد حصل عليها شخص ما بشكل منفصل، من خلال تسوية مسبقة، وسلمها للعملية.
لا يتناقض أي من هذا مع ادعاء سيسديج الأصلي، وتظل التفاصيل الفنية للهجوم ملحوظة في حد ذاتها، بل وحتى جامحة. تمكن الوكيل من اختراق خطأ معروف في Langflow، وهي أداة شائعة مفتوحة المصدر لإنشاء تطبيقات LLM، ثم انتقل إلى خادم MySQL للإنتاج واستغل ثغرة معروفة أخرى للحصول على حق الوصول الإداري. لقد قام بتشفير أكثر من 1300 سجل تكوين ولم يترك وراءه مذكرة فدية كتبها بنفسه فحسب، بل ترك عنوان Bitcoin حيث يمكن إرسال الفدية. لم يكشف Sysdig عن الجهة المستهدفة.
كانت التقنيات عادية إلى حد ما على ما يبدو، لكن ما برز هو السرعة والشفافية المستخدمة. أصلح الوكيل فشل تسجيل الدخول في 31 ثانية، وقام بسرد أسبابه الخاصة في تعليقات التعليمات البرمجية باللغة الطبيعية طوال الطريق.
إحدى التفاصيل التي بدت في البداية وكأنها تعكر الصورة، تم توضيحها منذ ذلك الحين. أخبر كلارك موقع CyberScoop أن Sysdig وجد “تم استخدام نماذج متعددة في الهجوم”، مستشهدًا بالمفاتيح المجمعة لـ OpenAI وAnthropic وDeepSeek وGemini – وهي اللغة التي تركت السؤال مفتوحًا حول ما إذا كانت عدة نماذج تعمل بشكل فعال على تشغيل مراحل مختلفة من الاختراق. وعندما طُلب منه التوضيح، أخبر كلارك موقع TechCrunch أن تلك المفاتيح كانت مجرد جزء مما سرقه العميل، وليس دليلاً على الدافع وراء ذلك.
وقال عبر البريد الإلكتروني: “لقد اكتسح الوكيل مضيف Langflow لأي شيء ذي قيمة – مفاتيح واجهة برمجة تطبيقات الموفر، وبيانات الاعتماد السحابية، ومحافظ العملات المشفرة، وتكوينات قاعدة البيانات – وكانت مفاتيح الموفر هذه جزءًا من المسروقات”. “إنها تشير إلى ما اعتبره المهاجم يستحق اتخاذه، لكنها لا تخبرنا عن النموذج الذي كان يتخذ القرارات.”
فيما يتعلق بالنموذج الذي يقوم بالفعل بتشغيل JadePuffer، قال كلارك إن Sysdig “لم يكن قادرًا على تحديد النموذج المحدد الذي يقود الوكيل” وليس لديه رؤية لموجه النظام أو التكوين الخاص به.
إن نظرية الباحث في شركة ميكروسوفت جيف ماكدونالد، والتي تم عرضها على موقع LinkedIn منذ عدة أيام، تستحق إعادة النظر فيها في ضوء ذلك. اشتبه ماكدونالد في أن نموذجًا مفتوح الوزن تم تجريده من التدريب على السلامة، وليس نموذجًا حدوديًا، كان وراء الهجوم، استنادًا إلى تجربته الخاصة في الفريق الأحمر التي أظهرت أن طبقات السلامة في المختبرات الحدودية صامدة جيدًا. لا يؤكد حساب Sysdig الخاص ذلك أو يستبعده.
وحذر منشور ماكدونالدز أيضًا من أن حملات برامج الفدية أصبحت الآن مقيدة بشكل أساسي بميزانية المهاجم بدلاً من الجهد البشري، مما يزيد من احتمالية “الآلاف أو عشرات الآلاف من الحملات المتزامنة”. من الصعب قليلاً التوفيق بين هذا القلق وبين ما وصفه كلارك يوم الاثنين. (إذا كان لا يزال يتعين على الإنسان اختيار كل ضحية، وتوفير البنية التحتية، والحصول على بيانات اعتماد قاعدة البيانات لكل عملية، فهذا يمثل عنق الزجاجة، على الأقل).
في كلتا الحالتين، قال كلارك لـ CyberScoop، في حين أن Sysdig لم ير نفس العملية تصيب ضحايا آخرين حتى الآن، نظرًا لمدى رخص تكلفة تشغيل وكيل، فإنه يتوقع أن يتغير ذلك.
عندما تقوم بالشراء من خلال الروابط الموجودة في مقالاتنا، قد نكسب عمولة صغيرة. هذا لا يؤثر على استقلالنا التحريري.

