چت‌بات‌ها در خدمت هکرها؛ شیوه نوین انتقال بدافزار با هوش مصنوعی کشف شد

محققان چک پوینت نشان دادند که چگونه هکرها با استفاده از قابلیت مرور وب در چت‌بات‌ها، برای انتقال بدافزار با هوش مصنوعی اقدام می‌کنند.

به گزارش سرویس هوش مصنوعی تک‌ناک، چت‌بات‌های هوش مصنوعی مجهز به به قابلیت مرور وب می‌توانند به‌عنوان واسطه انتقال بدافزار سوءاستفاده شوند. مؤسسه پژوهشی چک پوینت این مسئله را در نمایشی عملی نشان داده است. در این روش، به‌جای آنکه بدافزار به سرور فرمان و کنترل سنتی متصل شود، از قابلیت دریافت URL در چت‌بات استفاده می‌کند تا دستورها را از صفحه مخرب دریافت کند و سپس پاسخ را به سیستم آلوده بازگرداند.

در بسیاری از محیط‌ها، ترافیک به مقصد سرویس‌های بزرگ هوش مصنوعی از قبل به‌عنوان ترافیک عادی تلقی می‌شود و همین مسئله می‌تواند ارتباطات فرمان و کنترل را در میان استفاده معمول وب پنهان کند. همچنین، همین مسیر می‌تواند برای خارج‌کردن داده‌ها از سیستم به کار گرفته شود.

مایکروسافت در بیانیه‌ای به این پژوهش واکنش نشان داد و آن را مسئله‌ای ارتباطی پس‌از نفوذ توصیف کرد. این شرکت اعلام کرد که وقتی دستگاهی درمعرض نفوذ قرار می‌گیرد، مهاجمان تلاش می‌کنند از سرویس‌های در دسترس ازجمله سرویس‌های مبتنی‌بر هوش مصنوعی استفاده کنند. ردموندی‌ها بر لزوم به‌کارگیری راهکارهای دفاع چندلایه برای جلوگیری از آلودگی و محدود‌کردن پیامدهای بعد‌از‌آن نیز تأکید کردند.

این نمایش عملی چت را به واسطه ارتباطی تبدیل می‌کند. مفهوم کار ساده است: بدافزار از رابط وب هوش مصنوعی می‌خواهد URL را بارگذاری کند و محتوای آن را خلاصه کند و سپس متن بازگشتی را برای یافتن دستورهای تعبیه‌شده در آن استخراج می‌کند.

بنر معرفی Microsoft 365 Copilot با چند پنجره رابط کاربری شناور که نمونه‌هایی از چت، پیشنهادهای نوشتاری و تحلیل داده‌ها را در محیط اپ‌های کاری نمایش می‌دهد؛ تصویری مفهومی از دستیار هوش مصنوعی برای بهره‌وری و اتوماسیون وظایف در فضای مایکروسافت ۳۶۵.

چک پوینت اعلام کرده است که این شیوه را ازطریق رابط‌های وب گراک و کوپایلت آزمایش کرده است. نکته مهم در این روش نحوه دسترسی است؛ زیرا جریان کار به‌گونه‌ای طراحی شده که از APIهای توسعه‌دهندگان استفاده نکند و در سناریوهای آزمایش‌شده، حتی بدون کلید API هم اجرا‌شدنی باشد. این موضوع مانع استفاده نادرست را تا حد زیادی کاهش می‌دهد.

برای سرقت داده، این سازوکار می‌تواند به‌صورت معکوس هم عمل کند. یکی از روش‌های مطرح‌شده این است که داده‌ها در پارامترهای Query یک URL قرار داده شوند و سپس با اتکا به درخواست ایجادشده با هوش مصنوعی، به زیرساخت مهاجم منتقل شوند. استفاده از رمزگذاری ساده نیز می‌تواند محتوای ارسالی را مبهم‌تر کند و کارایی فیلترهای محتوایی ابتدایی را کاهش دهد.

این کلاس جدیدی از بدافزارها نیست؛ بلکه الگوی آشنای فرمان و کنترل است که در قالب سرویسی پیچیده شده است که بسیاری از شرکت‌ها در‌حال فعال‌سازی آن هستند. اگر سرویس‌های هوش مصنوعی دارای قابلیت مرور وب به‌صورت پیش‌فرض باز بمانند، سیستم آلوده می‌تواند پشت دامنه‌هایی پنهان شود که کم‌‌خطر به نظر می‌رسند.

تصویر هشدار امنیت سایبری با متن SYSTEM HACKED و نماد جمجمه در یک نشان مثلثی، روی پس‌زمینه‌ای از کدهای برنامه‌نویسی؛ نمایی مفهومی از حمله باج‌افزار (Ransomware) و نفوذ به سیستم‌های رایانه‌ای.

چک پوینت به رایج‌بودن زیرساخت استفاده‌شده نیز اشاره می‌کند. در نمونه ارائه‌شده، از WebView2 به‌عنوان مؤلفه مرورگر تعبیه‌شده در سیستم‌های جدید ویندوزی استفاده شده است. در جریان کاری توصیف‌شده، برنامه‌ای اطلاعات پایه میزبان را جمع‌ می‌کند، نمای وب مخفی به سرویس هوش مصنوعی باز می‌کند، یک درخواست URL را فعال می‌سازد و سپس پاسخ را تجزیه می‌کند تا دستور بعدی را استخراج کند. این روند می‌تواند شبیه رفتار عادی اپلیکیشن‌ها باشد و نه سیگنال ارتباطی مشکوک و آشکار.

به نوشته دیجیتال ترندز، توصیه این است که تیم‌های امنیتی چت‌بات‌های دارای قابلیت مرور وب را مانند هر اپلیکیشن ابری مطمئنی در نظر بگیرند که ممکن است پس‌از نفوذ سوءاستفاده شود. اگر استفاده از این سرویس‌ها مجاز است، باید الگوهای خودکارسازی، بارگذاری‌های مکرر URL، ریتم غیرعادی پرامپت‌ها یا حجم ترافیکی که با استفاده انسانی هم‌خوانی ندارد، زیرنظر قرار گیرد.

قابلیت‌های مرور وب مبتنی‌بر هوش مصنوعی شاید بهتر باشد فقط روی دستگاه‌های مدیریت‌شده و برای نقش‌های شغلی مشخص فعال شوند، نه روی همه سیستم‌ها. آنچه باید در ادامه زیرنظر گرفت، این است که ارائه‌دهندگان سرویس تشخیص خودکارسازی قوی‌تری در چت‌های وب اضافه می‌کنند یا نه و مدافعان امنیتی شروع به درنظر‌گرفتن مقاصد هوش مصنوعی به‌عنوان کانال‌های بالقوه ارتباطی پس‌از نفوذ خواهند کرد.