• صفحه اصلی
  • همه اخبار
  • تبلیغات تکناک
  • درباره ما
  • تماس با ما
اخبار تکنولوژی روز جهان و ایران
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه
No Result
مشاهده تمامی نتایج
اخبار تکنولوژی روز جهان و ایران
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه
No Result
مشاهده تمامی نتایج
اخبار تکنولوژی روز جهان و ایران

تک ناک » فناوری » اخبار هوش مصنوعی » یک مخزن GitHub ظاهرا سالم می‌تواند AI را برای نصب بدافزار فریب دهد

یک مخزن GitHub ظاهرا سالم می‌تواند AI را برای نصب بدافزار فریب دهد

تارخ ترهنده نوشته شده توسط تارخ ترهنده
دوشنبه 8 تیر 1405 - 09:55
در اخبار هوش مصنوعی, فناوری
یک مخزن GitHub ظاهرا سالم می‌تواند AI را برای نصب بدافزار فریب دهد
کپی لینکاشتراک گذاری در تلگراماشتراک گذاری در توییتر

پژوهشگران موزیلا نشان دادند که مهاجمان می‌توانند با یک مخزن GitHub ظاهرا سالم، مدل کلود را فریب دهند تا بدافزار اجرا کند.

به گزارش سرویس هوش مصنوعی تک‌ناک، عبارت «خارج از چارچوب فکر کنید» روی میلیون‌ها پوستر انگیزشی در سراسر جهان نقش بسته است؛ پیامی که بیشتر مدیران میانی را هدف قرار می‌دهد و برای بسیاری دیگر تنها باعث بالا رفتن چشم‌ها از سر تمسخر می‌شود.

با وجود این، پژوهشگران واحد 0din در موزیلا دقیقا همین کار را انجام داده‌اند: آنها با روشی غیرمستقیم اما فریبنده و در عین حال ساده، مدل کلود را وادار کردند که بدافزار اجرا کند؛ تنها با درخواست راه‌اندازی یک پروژه از یک مخزن GitHub که در ظاهر کاملا سالم و بی‌خطر به نظر می‌رسید.

در چنین سناریویی، مهاجم می‌تواند کنترل کامل حساب توسعه‌دهنده را به دست بگیرد و به تمام اطلاعات حساس او از اسرار کاری و کلیدهای API گرفته تا کدها، اسناد، نشست‌های مرورگر و گذرواژه‌ها دسترسی پیدا کند. حتی امکان نصب بدافزارهای بیشتر برای حفظ دسترسی دائمی نیز وجود دارد. تقریبا همه عامل‌های هوش مصنوعی در برابر این نوع حمله آسیب‌پذیر هستند، هرچند هوش مصنوعی کلود معمولا انتخاب پیش‌فرض برای انجام وظایف برنامه‌نویسی محسوب می‌شود.

مکانیزم حمله به این صورت است: کافی است یک توسعه‌دهنده قربانی از کلود بخواهد پروژه‌ای را از یک مخزن مخرب در GitHub راه‌اندازی کند، یا پس از کلون کردن مخزن، تنظیم آن را به کلود بسپارد. این مخزن در ظاهر کاملا عادی است و تنها شامل چند فایل پایه می‌شود. مهم‌تر اینکه هیچ نشانه‌ای در آن وجود ندارد که ابزارهای امنیتی، چه در سطح محلی و چه از راه دور یا حتی سامانه بررسی داخلی کلود را فعال کند.

تصویر مفهومی انتزاعی با تم امنیت سایبری؛ نماد قفل در مرکز تصویر، نشان‌دهنده امنیت، در کنار لوگوی گیت‌هاب (GitHub) و آیکون ترمینال (Command Line) که بر اتصال امن کدنویسی و مخازن نرم‌افزاری تأکید دارد؛ خطوط نورانی و رنگ آبی درخشان، حس پیشرفت و حفاظت را منتقل می‌کند.

در ادامه کلود مخزن به ظاهر سالم GitHub را کلون می‌کند. نخستین فایلی که پردازش می‌شود یک فایل README یا Markdown است که توضیح می‌دهد چگونه باید یک محیط Python را با استفاده از بسته Axiom راه‌اندازی کرد، که ابزاری رایج برای پایش سیستم‌ها است. تا این مرحله همه چیز کاملا مشروع به نظر می‌رسد. اما در واقع یک اسکریپت راه‌اندازی جعلی برای Axiom در مخزن قرار دارد که در نخستین اجرا عمدا با خطا متوقف می‌شود. این نخستین گام فریب است، چرا که کلود برای کمک به حل مشکل، یک دستور ظاهرا بی‌خطر دیگر را اجرا می‌کند تا Axiom را راه‌اندازی کند:

python3 -m axiom init

اجرای این دستور یک اسکریپت shell را فعال می‌کند که یک نرم‌افزار را برای اجرا دانلود می‌کند؛ عملیاتی کاملا رایج که معمولا حساسیتی برنمی‌انگیزد. اما ترفند دوم در همین‌جا نهفته است. به جای دانلود فایل از یک آدرس اینترنتی مخرب که قابلیت اسکن شدن دارد، اسکریپت رکوردهای متنی DNS مربوط به یک دامنه مشخص را می‌خواند؛ در این مورد دامنه «_axiom-config.m100.cloud» است. این روش نیز در نگاه اول طبیعی به نظر می‌رسد، زیرا برای نمونه سرویس‌های ایمیل و ابزارهای پیکربندی آنها به طور گسترده به رکوردهای TXT متکی هستند.

در رکورد TXT این دامنه، یک رشته رمزگذاری‌شده با Base64 قرار دارد که در نهایت یک reverse shell را باز می‌کند. به بیان ساده، این کد یک shell روی سیستم کاربر اجرا می‌کند، اما ورودی آن به سرور مهاجم هدایت می‌شود. از این مرحله به بعد، مهاجمان می‌توانند هر داده‌ای را که کاربر به آن دسترسی دارد، استخراج کنند و نرم‌افزارهای دلخواه خود را با همان سطح دسترسی اجرا نمایند. در همین حال، تنها چیزی که کلود و کاربر قربانی مشاهده می‌کنند پیامی مانند «Environment ready» یا عبارتی مشابه است.

اگر مراحل مرور شوند، این حمله شامل سه لایه انحراف است؛ مراحلی که هیچ‌کدام به‌تنهایی غیرعادی به نظر نمی‌رسند. تعداد بسیار کمی از ابزارهای اسکن امنیتی، اگر اصلا ابزاری وجود داشته باشد، چنین مخزنی را علامت‌گذاری می‌کنند و تقریبا هیچ‌یک از فعالیت‌ها، به‌جز باز شدن واقعی یک shell راه‌دور، رفتار مشکوکی نشان نمی‌دهد. در یک محیط سازمانی با کنترل بسیار سخت‌گیرانه روی دسترسی شبکه شاید امکان شناسایی چنین حمله‌ای وجود داشته باشد، اما اکثر توسعه‌دهندگان در چنین محیط‌هایی فعالیت نمی‌کنند. همچنین باید تأکید کرد که این پیاده‌سازی تنها یک نمونه از مفهومی گسترده‌تر است که می‌تواند با روش‌هایی حتی غیرمستقیم‌تر و پیچیده‌تر نیز اجرا شود.

بر اساس گزارش تامز هاردور، تیم 0din در پایان گزارش خود به نکته‌ای نسبتا بدیهی اشاره می‌کند: توسعه‌دهندگان نباید هیچ پروژه ناشناخته‌ای را به‌صورت کورکورانه به عنوان کد قابل اعتماد بپذیرند و طبیعتا نباید برای تحلیل امنیتی به خود ابزار هوش مصنوعی اتکا کنند. در مورد عامل‌های هوش مصنوعی نیز تأکید شده است که این سامانه‌ها باید به‌جای صرفا دنبال کردن مراحل، بررسی کنند چه چیزی قرار است اجرا شود و چگونه اجرا خواهد شد.

تارخ ترهنده

تارخ ترهنده

The burning heart never knows surrender.

مطالب مرتبط

ثبت رکورد جدید انتقال داده در فیبر نوری توخالی با سرعت ۵۱.۳ ترابیت‌برثانیه
اینترنت و شبکه

ثبت رکورد جدید انتقال داده در فیبر نوری توخالی با سرعت ۵۱.۳ ترابیت‌برثانیه

نوشته شده توسط نرگس چالوک
8 تیر 1405
بنر بزرگ و آبی‌رنگ مسابقات جام جهانی ۲۰۲۶ که لوگوی رسمی فیفا شامل عدد ۲۶ با طرح جام قهرمانی در مرکز و عبارت World Cup 2026 در پایین آن را به نمایش گذاشته است؛ پس‌زمینه با خطوط منحنی و ستاره‌های آبی تیره طراحی شده است
پیشنهاد سردبیر

۴۰۰ سایت پخش مسابقات جام جهانی ۲۰۲۶ توقیف شد

نوشته شده توسط تارخ ترهنده
8 تیر 1405
ادعای هم‌ترازی مدل متن‌باز چینی GLM-5.2 با Mythos در امنیت سایبری
اخبار هوش مصنوعی

ادعای هم‌ترازی مدل متن‌باز چینی GLM-5.2 با Mythos در امنیت سایبری

نوشته شده توسط مانی
8 تیر 1405
این مجتمع مسکونی، طبیعت را به قلب زندگی شهری بازگرداند
پیشنهاد سردبیر

این مجتمع مسکونی، طبیعت را به قلب زندگی شهری بازگرداند + تصویر

نوشته شده توسط نرگس چالوک
7 تیر 1405
جمنای امکان جست‌وجوی اپلیکیشن و بازی را در گوگل پلی فراهم کرد
اخبار هوش مصنوعی

جمنای امکان جست‌وجوی اپلیکیشن و بازی را در گوگل پلی فراهم کرد

نوشته شده توسط ساینا چمنی
7 تیر 1405
خبر بعدی
بنر بزرگ و آبی‌رنگ مسابقات جام جهانی ۲۰۲۶ که لوگوی رسمی فیفا شامل عدد ۲۶ با طرح جام قهرمانی در مرکز و عبارت World Cup 2026 در پایین آن را به نمایش گذاشته است؛ پس‌زمینه با خطوط منحنی و ستاره‌های آبی تیره طراحی شده است

۴۰۰ سایت پخش مسابقات جام جهانی ۲۰۲۶ توقیف شد

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آذرآنلاین آذرآنلاین آذرآنلاین

پیشنهادی

ویدیوهای کوتاه یوتیوب حالا با سرعت ۲ برابر پخش می‌ شوند

ویدیوهای کوتاه یوتیوب حالا با سرعت ۲ برابر پخش می‌ شوند

6 تیر 1405
گوشی P4R 5G ریلمی معرفی شد

گوشی P4R 5G ریلمی معرفی شد

21 خرداد 1405

داغ‌ترین‌های روز

بهترین سیستم گیمینگ

بهترین سیستم گیمینگ بازار ایران ؛ معرفی ۷ PC گیمینگ از اقتصادی تا RTX 5090

5 تیر 1405 - به‌روزشده در 6 تیر 1405
نسخه بتای One UI 9 به گوشی‌های میان‌رده گلکسی رسید

نسخه بتای One UI 9 به گوشی‌های میان‌رده گلکسی رسید

7 تیر 1405
اولین دوچرخه برقی خورشیدی جهان با برد ۱۹۳ کیلومتری معرفی شد

اولین دوچرخه برقی خورشیدی جهان با برد ۱۹۳ کیلومتری معرفی شد + تصویر

2 تیر 1405
مقایسه پوکو X8 Pro با گلکسی A57

مقایسه گوشی پوکو X8 Pro با گلکسی A57؛ کدام ارزش خرید بیشتری دارد؟

5 تیر 1405 - به‌روزشده در 6 تیر 1405
بهترین مودم سیم کارت خور

بهترین مودم‌ سیم کارت خور بازار ایران ؛ راهنمای خرید مودم‌های 4G، 5G و TD-LTE

4 تیر 1405
Technoc

دنیا با سرعتی خیره کننده به سمت تحقق رویاهایی می رود که تا دیروز دست نیافتنی و محال بود و بشر با گذر از دریایی از موانع یک به یک در حال تحقق آنها است.

ما در” تک ناک” تلاش می کنیم سهمی از انعکاس تحولات بی شمار فناوری و اخبار تکنولوژی داشته باشیم و در این کهکشان بی انتهای یافته های علمی و دانش محور محتوایی قابل اتکاء و اخباری موثق را از گوشه و کنار دنیا در اختیار علاقمندان و مخاطبان خود قرار دهیم.

ما را در شبکه های اجتماعی دنبال کنید

تازه‌ها

موتورسیکلت سبک‌وزن Desmo250 MX دوکاتی با قدرت 44 اسب بخار رونمایی شد

موتورسیکلت سبک‌وزن Desmo250 MX دوکاتی با قدرت 44 اسب بخار رونمایی شد + تصویر

8 تیر 1405
ثبت رکورد جدید انتقال داده در فیبر نوری توخالی با سرعت ۵۱.۳ ترابیت‌برثانیه

ثبت رکورد جدید انتقال داده در فیبر نوری توخالی با سرعت ۵۱.۳ ترابیت‌برثانیه

8 تیر 1405
اپل به لیتوگرافی ۱.۴ نانومتری مهاجرت می کند

اپل به لیتوگرافی ۱.۴ نانومتری مهاجرت می کند

8 تیر 1405
احتمال استفاده از حافظه LPDDR5X سامسونگ در سایر چیپست‌های پرچم‌دار

احتمال استفاده از حافظه LPDDR5X سامسونگ در سایر چیپست‌های پرچم‌دار

8 تیر 1405

دسترسی سریع

  • فناوری
  • کامپیوتر و موبایل
  • نقد و بررسی
  • آموزش
  • ارز دیجیتال
  • علمی
  • کسب و کار
  • وسائل نقلیه
  • بازی و سرگرمی
  • چند رسانه ای
  • صفحه اصلی
  • همه اخبار
  • تبلیغات تکناک
  • درباره ما
  • تماس با ما

© Copyright 2025 Technoc.ir

No Result
مشاهده تمامی نتایج
  • فناوری
    • اخبار هوش مصنوعی
    • رباتیک
    • اینترنت و شبکه
    • شبکه های اجتماعی
    • هوافضا
    • معماری
    • ورزش
    • رویداد ها
    • دوربین دیجیتال
  • کامپیوتر و موبایل
    • موبایل و تبلت
    • لپ تاپ و کامپیوتر
    • اپلیکیشن موبایل
    • نرم افزار
    • سخت افزار
    • ساعت هوشمند
    • مانیتور
    • اسپیکر و هدفون
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
  • نقد و بررسی
    • بررسی موبایل و تبلت
    • کنسول بازی
    • بررسی لپ تاپ و کامپیوتر
    • قطعات کامپیوتر
    • نرم افزار
    • بررسی اسپیکر و هدفون
    • بررسی ساعت هوشمند
  • آموزش
    • سیستم عامل موبایل
    • سیستم عامل کامپیوتر
    • آموزش هوش مصنوعی
    • سخت افزار
  • اخبار ارز دیجیتال
    • قیمت لحظه ای ارز دیجیتال
    • ماشین حساب ارز دیجیتال
    • آموزش ارز دیجیتال
  • علمی
    • سلامت و پزشکی
    • انرژی
    • فیزیک
    • شیمی
    • نجوم
    • ورزش
    • محیط زیست
    • باستان شناسی
  • کسب و کار
    • شرکت ها
    • بورس
    • مدیریت(پروژه، کسب و کار، منابع انسانی)
    • استارتاپ ها
    • دولت الکترونیک
    • رویداد کسب و کار
  • وسائل نقلیه
    • خودرو
    • دوچرخه
    • موتور سیکلت
    • قطار
    • هواپیما
  • بازی و سرگرمی
    • کنسول بازی های کامپیوتری
    • بازی های کامپیوتر
    • بازی کنسول
    • بازی موبایل
    • فیلم و سریال
  • چند رسانه ای
    • عکس
    • ویدئو
  • اخبار داخلی
    • دانش بنیان
    • دولت الکترونیک
    • رویداد داخلی
    • بازار
    • دانشگاه

© Copyright 2025 Technoc.ir