دیدگاه‌ خود را بنویسید / اخبار / 4 دقیقه برای مطالعه

«امنیت سایبری در نهایت یک بازی ذهنی است.» این جمله را آمی لوتواک، تکنولوژیست ارشد شرکت امنیت سایبری Wiz، در مصاحبه‌ای با TechCrunch در برنامه Equity بیان کرد. با گسترش کاربرد هوش مصنوعی در سازمان‌ها — از وایب‌کدینگ (vibe coding) و ادغام عامل‌های هوش مصنوعی تا ابزارهای جدید توسعه — سطح حمله (attack surface) نیز افزایش یافته و راه‌های جدیدی برای سوءاستفاده در اختیار مهاجمان قرار گرفته است.

افزایش سرعت توسعه = آسیب‌پذیری‌های جدید
هوش مصنوعی به توسعه‌دهندگان کمک می‌کند سریع‌تر کد منتشر کنند، اما این سرعت اغلب با میان‌برها و اشتباهاتی همراه است که درِ نفوذ را باز می‌کند. Wiz، که به گفته لوتواک اوایل امسال توسط گوگل به ارزش ۳۲ میلیارد دلار خریداری شد، در آزمایش‌های اخیر خود متوجه شد یکی از مشکلات رایج در اپلیکیشن‌هایی که با وایب‌کدینگ ساخته شده‌اند، پیاده‌سازی ناامن مکانیزم‌های احراز هویت است. لوتواک می‌گوید: «این اتفاق به این دلیل رخ می‌دهد که آسان‌تر است؛ عامل‌های وایب‌کدینگ همان کاری را انجام می‌دهند که شما می‌گویید و اگر نگفته باشید که امن‌ترین روش را به‌کار بگیرند، آن‌ها هم آن‌طور نخواهند ساخت.»

مهاجمان هم هوش مصنوعی را به کار می‌گیرند
اما تنها توسعه‌دهندگان نیستند که از هوش مصنوعی برای تسریع کارها استفاده می‌کنند؛ مهاجمان نیز از وایب‌کدینگ، تکنیک‌های مبتنی بر پرامپت و حتی عامل‌های هوش مصنوعی خود برای اجرای حملات بهره می‌برند. لوتواک می‌گوید: «حالا مهاجم از پرامپت‌ها برای حمله استفاده می‌کند. او به ابزارهای شما دستور می‌دهد: «همه اسرارتان را بفرست، ماشین را پاک کن، فایل را حذف کن.»»

حملات زنجیره تأمین و نمونه‌های واقعی
ادغام ابزارهای داخلی مبتنی بر هوش مصنوعی می‌تواند موجب حملات زنجیره تأمین شود؛ با تسخیر یک سرویس ثالث که به بخش‌های حساسی از زیرساخت دسترسی دارد، مهاجم می‌تواند به‌سرعت در سراسر سیستم‌های شرکتی حرکت کند. نمونه مشخص این نوع حمله، رخنه‌ای است که ماه گذشته به استارتاپ Drift وارد شد و اطلاعات Salesforce صدها مشتری شرکتی از جمله Cloudflare، Palo Alto Networks و Google را افشاء کرد. مهاجمان با دسترسی به توکن‌ها — کلیدهای دیجیتال — توانستند پیام‌رسان چت‌بات را جعل کنند، داده‌های Salesforce را استخراج کنند و حرکت جانبی در محیط مشتریان انجام دهند. لوتواک تاکید می‌کند که کد حمله نیز از طریق وایب‌کدینگ تولید شده بود.

آمار و سرعت تحول
لوتواک بر این باور است که پذیرش کامل ابزارهای هوش مصنوعی در سازمان‌ها هنوز کم است — او تخمین می‌زند حدود ۱٪ از سازمان‌ها به‌طور کامل هوش مصنوعی را پذیرفته‌اند — اما Wiz هر هفته حملاتی را می‌بیند که هزاران مشتری شرکتی را تحت‌تأثیر قرار می‌دهد و در تمام مراحل جریان حمله، هوش مصنوعی نقش داشته است. او هشدار می‌دهد این انقلاب سریع‌تر از هر تحول قبلی در امنیت است و صنعت باید هماهنگ با این سرعت حرکت کند.

مثال دیگر: حمله s1ingularity
در اوت، حمله‌ای موسوم به «s1ingularity» به سیستم ساخت محبوب Nx رخ داد؛ مهاجمان بدافزاری وارد سیستم کردند که حضور ابزارهای توسعه‌دهنده هوش مصنوعی مانند Claude و Gemini را شناسایی و آن‌ها را برای اسکن خودکار سیستم و یافتن داده‌های باارزش ربایش می‌کرد. این حمله هزاران توکن و کلید توسعه‌دهندگان را به‌خطر انداخت و دسترسی به مخازن خصوصی GitHub را ممکن ساخت.

واکنش و راهکارها: امنیت «از روز اول»
با وجود تهدیدها، لوتواک می‌گوید این دوران برای رهبران امنیت سایبری هیجان‌انگیز است. Wiz که از ۲۰۲۰ کار خود را آغاز کرد، در سال گذشته توانمندی‌های خود را برای مقابله با حملات مرتبط با هوش مصنوعی و استفاده از هوش مصنوعی در محصولاتش توسعه داده است: از جمله Wiz Code برای امن‌سازی چرخه توسعه نرم‌افزار و Wiz Defend برای محافظت در زمان اجرا و شناسایی تهدیدهای فعال در محیط‌های ابری.

پیشنهادهای عملی برای استارتاپ‌ها و سازمان‌ها
– امنیت از روز اول: حتی استارتاپ‌های کوچک باید از ابتدا نگرش امنیتی و حاکمیت اطلاعاتی (CISO) داشته باشند و compliant بودن (مثلاً SOC2) را جدی بگیرند.
– طراحی امن و معماری داده: اگر مشتریان سازمانی می‌خواهید، معماری‌ای طراحی کنید که داده‌های مشتری در محیط خود مشتری باقی بماند و دسترسی‌ها محدود شود.
– احراز هویت و مدیریت دسترسی: پیاده‌سازی احراز هویت قوی، لاگ‌های ممیزی، سیاست حداقل دسترسی و یکپارچگی با Single Sign-On ضروری است.
– امنیت در چرخه توسعه: استفاده از اسکن کد، بررسی وابستگی‌ها، و ابزارهای شناسایی آسیب‌پذیری در مراحل اولیه توسعه تا از «بدهی امنیتی» جلوگیری شود.
– ارزیابی سرویس‌های ثالث: قبل از ارسال داده‌های حساس به سرویس‌های SaaS کوچک، ارزیابی ریسک و بررسی شیوه‌های امنیتی آن‌ها را انجام دهید.

فرصت برای نوآوری
لوتواک معتقد است اکنون زمان مناسبی برای ورود استارتاپ‌های امنیتی به حوزه‌های مختلف مانند محافظت در برابر فیشینگ، امنیت ایمیل، آنتی‌مالور، و محافظت از نقاط پایانی است. همچنین ابزارهایی که به تیم‌های امنیتی کمک می‌کنند خود از هوش مصنوعی برای دفاع در برابر حملات مبتنی بر هوش مصنوعی استفاده کنند، زمینه‌ای پرسود برای نوآوری هستند. او در پایان می‌گوید: «بازی باز است؛ هر بخش از امنیت اکنون با حملات جدید روبه‌رو شده و باید هر بخش را از نو بازاندیشی کنیم.»

خوانش متن با صدای طبیعی

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اسکرول به بالا