در یک تحول نگران‌کننده در حوزه امنیت سایبری، پژوهشگران شرکت SentinelOne از پلتفرمی مخرب با نام AkiraBot پرده برداشته‌اند؛ رباتی قدرتمند که با بهره‌گیری از مدل‌های زبانی هوش مصنوعی OpenAI مانند GPT-4o-mini، اقدام به ارسال اسپم در مقیاسی بی‌سابقه می‌کند. این ربات تاکنون بیش از ۴۲۰ هزار دامنه‌ اینترنتی را هدف قرار داده و به‌صورت موفقیت‌آمیز محتوای اسپم را در بیش از ۸۰ هزار وب‌سایت درج کرده است.

AkiraBot چگونه کار می‌کند؟

AkiraBot یک ابزار خودکار مبتنی بر زبان برنامه‌نویسی Python است که محتوای بازاریابی و اسپم را به‌صورت سفارشی برای فرم‌های تماس، چت‌بات‌ها و بخش نظرات وب‌سایت‌ها تولید می‌کند. آنچه این ابزار را متمایز می‌کند، توانایی آن در تحلیل محتوای صفحات هدف و تولید پیام‌های مرتبط و "طبیعی" با استفاده از API رسمی OpenAI است. قالب‌های اولیه پیام به‌صورت پویا در قالب پرامپت به GPT ارسال شده و محتوای شخصی‌سازی‌شده برگشت داده می‌شود.

اهداف و برد عملیاتی

پلتفرم AkiraBot فعالیت‌های خود را ابتدا از وب‌سایت‌های Shopify آغاز کرد و در ادامه دامنه‌ حملات خود را به سیستم‌های ساخت وب نظیر GoDaddy، Wix و Squarespace گسترش داد. طبق شواهد، این بات به‌ویژه کسب‌وکارهای کوچک و متوسط (SMBها) را هدف قرار داده است.

دور زدن CAPTCHA و شبکه‌های محافظ

یکی از خطرناک‌ترین ویژگی‌های AkiraBot، توانایی آن در دور زدن مکانیزم‌های CAPTCHA پرکاربرد مانند hCAPTCHA، reCAPTCHA و Cloudflare Turnstile است. برای این منظور، ترافیک تولیدی این ربات به‌گونه‌ای طراحی شده که به‌عنوان کاربر واقعی شناسایی شود و از پراکسی‌های مخفی‌ساز IP مانند SmartProxy برای مخفی کردن منبع واقعی درخواست‌ها استفاده می‌کند.

رابط کاربری و مانیتورینگ

AkiraBot دارای رابط گرافیکی است که به مهاجم اجازه می‌دهد لیستی از سایت‌های هدف را انتخاب و تعداد اتصالات هم‌زمان را تعیین کند. نتایج حملات نیز در فایل‌هایی نظیر submissions.csv ثبت می‌شود که شامل اطلاعات دقیق در مورد موفقیت یا شکست اسپم‌ها، عملکرد سیستم‌های CAPTCHA، و وضعیت پراکسی‌ها است. همچنین، این داده‌ها به یک کانال تلگرامی اختصاصی از طریق API ارسال می‌شود.

مداخله OpenAI و پاسخ به تهدید

در واکنش به این سوءاستفاده، OpenAI اقدام به غیرفعال‌سازی کلید API و منابع مرتبط با عامل یا عوامل تهدید کرده است. با این حال، ایجاد چنین پلتفرم پیشرفته‌ای نشان‌دهنده‌ی تعهد بالای مهاجمان به توسعه‌ ابزارهایی است که توانایی عبور از سدهای امنیتی مرسوم را دارند.

هم‌زمانی با ظهور ابزارهای مشابه: Xanthorox AI

هم‌زمان با کشف AkiraBot، ابزار سایبری دیگری به نام Xanthorox AI نیز توسط شرکت SlashNext معرفی شده که از پنج مدل هوش مصنوعی مجزا برای انجام وظایفی مانند تولید بدافزار، اکسپلویت آسیب‌پذیری‌ها و تحلیل داده استفاده می‌کند. برخلاف AkiraBot که به APIهای عمومی متکی است، Xanthorox AI به‌صورت کامل روی سرورهای محلی مهاجم اجرا می‌شود و از معماری local-first بهره می‌برد که شناسایی و ردیابی آن را به‌شدت دشوار می‌سازد.

جمع‌بندی: چالش نوظهور امنیتی با هوش مصنوعی

مواردی مانند AkiraBot و Xanthorox AI نشان می‌دهند که تهدیدات ناشی از هوش مصنوعی به‌سرعت در حال رشد هستند. استفاده مهاجمان از مدل‌های زبانی قدرتمند برای تولید محتوای فریبنده و عبور از فیلترهای ضداسپم، نشانه‌ای از مرحله جدیدی در تهدیدات سایبری است؛ مرحله‌ای که در آن مرز میان پیام انسانی و ماشینی محو شده و دفاع سنتی دیگر کافی نیست.

توصیه به متخصصان امنیتی:

​​​​​​برای مقابله با تهدیدات نوظهور ناشی از سوءاستفاده از هوش مصنوعی، به‌ویژه در حملات خودکار مبتنی بر زبان طبیعی، اقدامات زیر توصیه می‌شود:

• پایش مداوم فرم‌های تماس، چت‌بات‌ها و باکس‌های ارسال نظر: این نقاط ورودی در حال تبدیل شدن به اهداف اصلی ربات‌های هوشمند هستند. مانیتورینگ لحظه‌ای و تحلیل الگوهای رفتاری کاربران می‌تواند به شناسایی فعالیت‌های غیرعادی کمک کند.

• استفاده از CAPTCHAهای پیشرفته مبتنی بر تحلیل رفتار کاربر: راهکارهایی مانند Google reCAPTCHA v3 یا سیستم‌های ترکیبی که از امتیازدهی رفتاری استفاده می‌کنند، نسبت به نسخه‌های ساده‌ قبلی اثربخشی بالاتری در برابر ربات‌ها دارند.

• شناسایی و مسدودسازی ترافیک مشکوک با منشأ پراکسی: بررسی دقیق هدرهای HTTP، نرخ درخواست‌ها و الگوهای IP می‌تواند به شناسایی استفاده از پراکسی‌های مخرب (مانند SmartProxy) کمک کند.

• اعمال سیاست‌های سخت‌گیرانه برای دسترسی به APIهای مبتنی بر هوش مصنوعی: توصیه می‌شود دسترسی به APIهای خارجی مانند OpenAI فقط از طریق سرورهای کنترل‌شده با لاگ‌گیری دقیق انجام شود. همچنین، محدودسازی استفاده از مدل‌های زبانی در شبکه داخلی با استفاده از فایروال و کنترل دسترسی، ضروری است.