الأمن السيبراني
اكتشاف أول هجوم فدية يُدار بالكامل بواسطة ذكاء اصطناعي من باحثي Sysdig
وجد فريق أبحاث التهديدات في Sysdig وكيل ذكاء اصطناعي، يُتتبع باسم JADEPUFFER، يستغل ثغرة غير مصححة في Langflow لاختراق النظام، وسرقة بيانات الاعتماد، والتنقل أفقيًا، وتشفير قاعدة بيانات إنتاجية. نفذ الهجوم دون مشغل بشري، مما أثار مخاوف بشأن إضفاء الطابع الديمقراطي على برامج الفدية.

تقول شركة الأمن Sysdig إنها عثرت على ما تعتقد أنه أول هجوم فدية يُدار من البداية إلى النهاية بواسطة وكيل ذكاء اصطناعي.
يطلق فريق أبحاث التهديدات التابع لها على المشغل اسم JADEPUFFER ويقول إن نموذج لغة كبير تعامل مع المهمة بأكملها: الاختراق، وسرقة بيانات الاعتماد، والتنقل أعمق في الشبكة، ثم تشفير ومسح قاعدة بيانات إنتاجية لإحدى الشركات.
لطالما احتاجت برامج الفدية إلى شخص ماهر في مكان ما في الحلقة، سواء على لوحة المفاتيح أو كتابة البرنامج النصي الذي يتبعه البرنامج الضار. إذا كان النموذج قادرًا على ربط هذه الخطوات بنفسه، فإن المهارة اللازمة لتنفيذ هجوم تنخفض إلى تكلفة استئجار وكيل ذكاء اصطناعي.
كيف تطور الهجوم
كانت طريقة الدخول ثغرة قديمة تم إصلاحها بالفعل. استغل JADEPUFFER الثغرة CVE-2025-3248، وهي خلل في المصادقة موجود في Langflow، وهي أداة مفتوحة المصدر لبناء تطبيقات الذكاء الاصطناعي وسير عمل الوكلاء. يسمح الخلل لأي شخص يمكنه الوصول إلى الخادم بتشغيل كود Python الخاص به عليه، دون حاجة لتسجيل الدخول.
صناديق Langflow هي هدف مغري لأنها غالبًا ما تكون مكشوفة على الإنترنت وتحمل مفاتيح API وبيانات اعتماد سحابية للخدمات التي تتصل بها.
تم إصلاح الثغرة في Langflow 1.3.0 وأضيفت إلى قائمة الثغرات المستغلة المعروفة (KEV) التابعة لوكالة الأمن السيبراني وأمن البنية التحتية (CISA) في مايو 2025، لكن العديد من الخوادم لم يتم تحديثها أبدًا. وهي ليست حتى ثغرة Langflow الوحيدة التي يتم استغلالها بهذه الطريقة.
بمجرد الدخول، عمل الوكيل بسرعة ونظف آثاره بعد نفسه. قام برسم خريطة للجهاز، ثم فتّشه بحثًا عن الأسرار: مفاتيح API لخدمات الذكاء الاصطناعي (OpenAI، Anthropic، DeepSeek، Gemini)، وبيانات اعتماد سحابية (مقدمو خدمات صينيون مثل Alibaba وTencent إلى جانب AWS وGoogle وAzure)، ومفاتيح محافظ العملات المشفرة، وبيانات تسجيل دخول قواعد البيانات.
اقتحم خادم تخزين MinIO باستخدام بيانات تسجيل الدخول الافتراضية للمصنع (minioadmin:minioadmin)، والتي لم يتم تغييرها أبدًا. كما أقام طريقة للعودة، حيث أضاف مهمة مجدولة كانت ترسل إشارة إلى خادم المهاجم كل 30 دقيقة.
ثم انتقل إلى هدفه الحقيقي: خادم منفصل متصل بالإنترنت يشغل قاعدة بيانات MySQL وNacos من Alibaba، وهو دليل إعدادات وخدمات شائع في إعدادات الخدمات المصغرة. سجل الوكيل الدخول إلى قاعدة البيانات كمسؤول (root).
تقول Sysdig إنها لم ترَ أبدًا من أين أتت بيانات اعتماد المسؤول هذه، لذا فإن مصدرها غير معروف. من هناك، سيطر على Nacos باستخدام ثغرة تجاوز المصادقة من عام 2021 (CVE-2021-29441) ومفتاح توقيع افتراضي شحنه Nacos دون تغيير منذ عام 2020، ثم زرع حساب المسؤول الخاص به.
ملاحظة الفدية بدون مفتاح
قام الوكيل بتشفير جميع إعدادات Nacos البالغ عددها 1,342، وأسقط الجداول الأصلية، وترك ملاحظة فدية تطلب البيتكوين مع جهة اتصال عبر Proton Mail. قام بإنشاء مفتاح تشفير عشوائي، وطبعه على الشاشة مرة واحدة، ولم يحفظه أو يرسله إلى أي مكان مطلقًا.
لا يوجد مفتاح لتسليمه. لا يمكن للضحية استعادة البيانات حتى لو دفعوا الفدية. (تدّعي الملاحظة استخدام تشفير AES-256؛ تلاحظ Sysdig أن الأداة التي استخدمها كانت افتراضية لتشفير أضعف هو AES-128، على الرغم من أن النتيجة واحدة.)
ثم ذهب إلى أبعد من ذلك، حيث قام بحذف قواعد البيانات بأكملها وترك تعليقًا في الكود الخاص به يدّعي أنه قد نسخ البيانات بالفعل إلى مكان آخر.
تقول Sysdig إن هذا هو كلام الوكيل، وليس شيئًا يمكن للفريق تأكيده، ولم تجد أي دليل على أنه تم بالفعل إخراج أي بيانات.
كيف يعرف الخبراء أن ذكاءً اصطناعيًا هو من كان يقود
أوضح دليل كان الكود نفسه. كانت حمولات الهجوم مليئة بملاحظات باللغة الإنجليزية المبسطة تشرح سبب اتخاذ كل خطوة، وهو التعليق الجاري الذي لا يكتبه أي متسلل بشري أبدًا، لكن النموذج ينتجه بشكل افتراضي. كما قام الوكيل بإصلاح أخطائه الخاصة بسرعة الآلة.
في إحدى الحالات، انتقل من فشل تسجيل الدخول إلى إصلاح صحيح متعدد الخطوات في 31 ثانية، حيث شخص السبب الدقيق بدلاً من إعادة المحاولة بشكل أعمى. أحصت Sysdig أكثر من 600 حمولة منفصلة وهادفة عبر العملية.
تفصيل واحد لا يزال لغزًا. عنوان البيتكوين في ملاحظة الفدية هو بالضبط عنوان العينة الذي يظهر في جميع أنحاء وثائق مطوري Bitcoin الخاصة، مما يعني أنه يظهر في كل مكان في النص الذي يتم تدريب هذه النماذج عليه. كما أنها محفظة حقيقية ونشطة ولها تاريخ طويل من المدفوعات.
لا تستطيع Sysdig تحديد ما إذا كان النموذج قد قام ببساطة بلصق عنوان مألوف من الذاكرة، أو ما إذا كان المشغل قد استخدم عمدًا محفظة حقيقية تصادف أنها تطابق المثال الشهير.
جزء من تحول أكبر
JADEPUFFER هي أحدث خطوة في عام سريع التطور للهجمات التي يقودها الذكاء الاصطناعي. في أغسطس 2025، أشار باحثون في ESET إلى PromptLock، الذي وُصف بأنه أول برنامج فدية مدعوم بالذكاء الاصطناعي؛ واتضح لاحقًا أنه نموذج أولي مختبري من NYU يُدعى Ransomware 3.0، وليس هجومًا حقيقيًا.
في نفس الوقت تقريبًا، أبلغت Anthropic عن حملة ابتزاز حقيقية استخدمت أداة Claude Code الخاصة بها لضرب ما لا يقل عن 17 مؤسسة، مع مطالب تجاوزت 500,000 دولار، على الرغم من أن إنسانًا كان لا يزال يوجه تلك الحملة.
في نوفمبر 2025، كشفت Anthropic عما وصفته بأنه أول هجوم إلكتروني شبه مستقل بالكامل، وهو جهد تجسسي مرتبط بالدولة الصينية جعل Claude يكتب ثغرات exploit ويسرق البيانات بمساعدة بشرية قليلة. تضمنت تلك العملية أيضًا قيام الذكاء الاصطناعي باختراع بيانات اعتماد غير موجودة، وربما يكون هذا هو نفس النوع من الهلوسة وراء عنوان البيتكوين الغريب لـ JADEPUFFER.
أجزاء الهجوم الخطير يتم أتمتتها، والبرامج القديمة غير المصححة هي الهدف السهل الأول. تجعل الوكلاء رش القائمة الخلفية الكاملة للثغرات المعروفة مجانيًا تقريبًا، وبالتالي تصبح الخوادم المهملة أكثر تعرضًا، وليس أقل.
ما يجب على المدافعين فعله
الإصلاحات مألوفة. قم بتصحيح Langflow ولا تعرض أبدًا نقاط نهاية تنفيذ الكود الخاصة به للإنترنت. لا تقم بتشغيل أدوات الذكاء الاصطناعي مع مفاتيح سحابية وبيانات اعتماد مزود الخدمة الموجودة في بيئتها؛ احتفظ بالأسرار في مدير مناسب، بعيدًا عن أي شيء يمكن للويب الوصول إليه.
قم بتعزيز أمان Nacos: قم بتغيير مفتاح التوقيع الافتراضي، وأبقِه بعيدًا عن الإنترنت العام، ولا تسمح له أبدًا بالاتصال بقاعدة البيانات الخاصة به كمسؤول. لا تعرض أبدًا حساب المسؤول لقاعدة البيانات للإنترنت، وقم بتقييد حركة المرور الصادرة بحيث لا يتمكن الخادم المخترق من الاتصال بالقاعدة الرئيسية.
لأن المهاجمين يمكنهم الآن تسليح نشرة استشارية جديدة في غضون ساعات، تجادل Sysdig بأن مراقبة السلوك الضار في وقت التشغيل (runtime) أهم من التسرع في التصحيح.
تتضمن المؤشرات المنشورة من Sysdig لهذه العملية ما يلي:
- نقطة الدخول: CVE-2025-3248 (تنفيذ كود عن بعد غير موثق في Langflow)
- القيادة والتحكم: 45.131.66[.]106، مع إشارة إلى hxxp://45.131.66[.]106:4444/beacon كل 30 دقيقة
- خادم مرحلي مزعوم: 64.20.53[.]230
- عنوان البيتكوين للفدية: 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy؛ جهة اتصال: e78393397[@]proton[.]me؛ اسم جدول الفدية: README_RANSOM
تصف Sysdig JADEPUFFER بأنه علامة تحذير وليس أزمة. لم تكن أي من الحركات الفردية ذكية أو جديدة. الجديد هو أن نموذجًا قام بدمجها في هجوم كامل ضد خادم مهمل، بمفرده.
توقع المزيد من نفس النوع مع نضوج أدوات الوكلاء، وعامل أي خادم مكشوف، أو مخزن إعدادات، أو مسؤول قاعدة بيانات كشيء سوف تختبره آلة وليس مجرد شخص.