کمیته رکن چهارم – گزارشهای تازه امنیتی نشان میدهد مهاجمان سایبری با بهرهگیری از هوش مصنوعی تهاجمی، بدافزارهایی پویا و سازگار تولید میکنند که توان عبور از سامانههای دفاعی رایج را دارند و چشمانداز تهدیدات دیجیتال را بهطور بنیادین تغییر دادهاند.
به گزارش کمیته رکن چهارم، تحولات اخیر در حوزه امنیت سایبری حاکی از آن است که مهاجمان با سرعتی فزاینده در حال تطبیق تاکتیکهای خود با قابلیتهای هوش مصنوعی هستند. گروه اطلاعات تهدید گوگل اعلام کرده است که بازیگران مخرب از مدلهای زبانی بزرگ (LLM) نهتنها برای تولید کدهای مخرب، بلکه برای مبهمسازی و تغییر آنی ساختار بدافزار استفاده میکنند؛ رویکردی که به بدافزار اجازه میدهد در لحظه «تغییر شکل» دهد و از شناسایی توسط ابزارهای دفاعی متعارف عبور کند.
در نوامبر ۲۰۲۵، شرکت Anthropic از شناسایی آنچه «نخستین کارزار شناختهشده جاسوسی سایبری با هدایت هوش مصنوعی» توصیف شده، خبر داد. در این عملیات، هوش مصنوعی در تمام مراحل حمله، از دسترسی اولیه تا استخراج دادهها، نقش مستقیم داشته و بخش عمدهای از اجرای حمله بهصورت خودکار انجام شده است.
در کنار این تحول، حملات موسوم به ClickFix نیز بهعنوان یک روند مهم مورد توجه قرار گرفتهاند. این حملات با استفاده از تکنیکهای استگانوگرافی، بدافزار را در فایلهای تصویری پنهان میکنند و با عبور از اسکنهای مبتنی بر امضا، کاربران را در قالب صفحههای جعلی «بهروزرسانی نرمافزار» یا «کپچا» فریب میدهند. نتیجه این فریب، اجرای تروجانهای دسترسی از راه دور، اطلاعاترباها و دیگر payloadهای مخرب توسط خود کاربران است.
پژوهشهای منتشرشده از سوی مایکروسافت در اکتبر ۲۰۲۵ نشان میدهد برخی مهاجمان با ترکیب مهندسی اجتماعی، حملات مهاجم-در-میانه و تکنیکهایی مانند SIM swapping، کاربران را وادار به ایجاد استثنا در آنتیویروسها یا حتی غیرفعالسازی کامل ابزارهای امنیتی کردهاند. در یکی از این موارد، حذف خودکار اعلانهای ایمیلی و غیرفعالشدن چند لایه حفاظتی باعث شد بدافزار بدون فعالشدن هشدارهای endpoint در شبکههای سازمانی گسترش یابد.
این مجموعه تحولات نشان میدهد اتکای صرف به سامانههای پایش و پاسخ در endpoint (EDR) با محدودیتهای جدی مواجه شده است. حملات مبتنی بر هوش مصنوعی، با رفتار تطبیقپذیر و خودکار، بهگونهای طراحی شدهاند که از دید دفاعهای تکلایه پنهان بمانند و همین امر نیاز به رویکردهای مکمل را برجسته میکند.
در این چارچوب، همافزایی میان پایش و پاسخ در شبکه (NDR) و EDR بهعنوان یک راهکار مؤثر مطرح شده است. در حالی که EDR بر فعالیتهای هر دستگاه تمرکز دارد، NDR با پایش پیوسته ترافیک شبکه میتواند ناهنجاریها و الگوهای غیرعادی را شناسایی کند؛ حتی زمانی که بدافزار از کنترلهای endpoint عبور کرده باشد.
نمونههای عملی از حملات اخیر نشان میدهد این همکاری میتواند نقش تعیینکنندهای داشته باشد. در برخی موارد، فعالیتهای مشکوک ابتدا در سطح شبکه شناسایی شده و پس از ورود حمله به endpointهای مدیریتشده، اقدامات تکمیلی انجام شده است. این رویکرد بهویژه در محیطهای ابری، زیرساختهای ترکیبی و سناریوهای دورکاری اهمیت بیشتری یافته است.
در مجموع، کارشناسان هشدار میدهند که با گسترش استفاده مهاجمان از هوش مصنوعی، راهبردهای دفاعی نیز ناگزیر به تحول هستند. پایش چندلایه، اشتراک سیگنالهای امنیتی میان شبکه و endpoint و کاهش اتکای صرف به ابزارهای سنتی، از جمله اقداماتی است که میتواند توان تابآوری سازمانها را در برابر نسل جدید حملات سایبری افزایش دهد؛ حملاتی که هر روز هوشمندتر، سریعتر و پنهانتر میشوند.
