وكلاء الذكاء الاصطناعي الهجوميون: عصر جديد للتهديدات السيبرانية فائقة السرعة

مقدمة تحليلية

لقد انتهى عصر التهديدات التي تتحرك بسرعة البشر، وهي حقيقة لم نتوقع يوماً أن نرثيها. فلطالما سارت الأمن السيبراني بوتيرة يمكن للمؤسسات مواكبتها: يكتشف باحث ثغرة، تُصنّف كـ CVE، يتعامل البائع مع دورة التصحيح، وبعد أسابيع أو حتى أشهر، يُنشر الإصلاح. في هذا العصر، كانت فترة بقاء المهاجم في الشبكة (dwell time) تُقاس بالأيام، وأحياناً بالأسابيع. نحن الآن نقترب من نقطة تحول في الجدول الزمني للتهديدات، مختلفة عن أي شيء سبقها. كان المحفز هو ظهور نماذج الوكلاء (agentic models) الرائدة في أوائل عام 2026: كيانات ذكاء اصطناعي لم تعد مجرد تقترح التعليمات البرمجية، بل تختبرها بنشاط. هذه النماذج لا تسرّع دورة الحياة الهجومية فحسب؛ بل تضغط بشكل جذري على الوقت بين الاكتشاف والتسليح. إن المفارقة تكمن في أن نفس التقنية التي أُدخلت لزيادة الإنتاجية وكفاءة العمليات، باتت الآن سلاحاً فتاكاً في أيدي المهاجمين من الذكاء الاصطناعي، قادرين على استغلال الثغرات وإحداث اختراقات قبل أن ينهي المدافع البشري قهوته الصباحية.

التحليل التقني

إن الخطورة الأكبر تكمن في قدرة وكلاء الذكاء الاصطناعي الهجوميين على العمل كـ "ذئب في ثوب حمل" (wolf in sheep’s clothing). فقد منحت المنظمات الذكاء الاصطناعي مفاتيح الطبقات الأعمق من بنيتها التحتية، مانحةً وكلاء LLM صلاحية الكتابة في المستودعات (repos) والسماح لـ AI wrappers من طرف ثالث بالاتصال بواجهات برمجة التطبيقات (internal APIs). هذه الأدوات لا تقوم فقط بتسريع دورة الهجوم، بل تجعل الهجمات ذاتية التوليد ومتبخّرة (ephemeral)، مما يعني أنها تحدث بسرعة وتختفي قبل أن يتم تسجيلها في أنظمة الدفاع التقليدية. إن الأجزاء الأكثر إثارة للقلق في هذا التطور ليست مجرد السرعة، بل التزايد المستمر في إخفاء الهوية (anonymity). ففي عصر ما قبل الذكاء الاصطناعي، كنا نعتمد على قوائم الثغرات العامة مثل CISA’s KEV Catalog و EPSS. بحثنا عن التوقيعات المعروفة والسلوكيات الموثقة. ولكن مع تزايد الاختراقات التي يقودها الذكاء الاصطناعي والتي تصبح ذاتية التوليد، فإنها تصبح متبخّرة. ستكون الهجمات قريباً سريعة جداً، ومستهدفة جداً، ومتحورة بحيث لن تبقى في النظام فترة كافية لتصنيفها. بحلول الوقت الذي يُطلق فيه نظام SIEM تنبيهاً، يكون وكيل الذكاء الاصطناعي قد انتقل بالفعل، وسرّب البيانات، وربما لم يترك أثراً. يتضاعف الخطر لأن بنيتنا لم تعد رقمية فحسب؛ بل مادية أيضاً. وقد أدى التقارب المستمر بين تقنية المعلومات (IT) وتقنية التشغيل (OT) إلى خلق ملعب موحد لمهاجمي الذكاء الاصطناعي. كنا نعتمد على "وهم التقسيم" (segmentation illusion): الافتراض المريح بأن أصولنا الصناعية الحيوية معزولة هوائياً (air-gapped) أو محمية بأمان خلف جدران الحماية (firewalls). في عالم متقارب، يعتبر هذا الفصل الهوائي أو التقسيم عيباً في التصميم. لا يرى وكيل الذكاء الاصطناعي جدار حماية؛ بل يرى أصلاً قابلاً للاستغلال. وفي هذا المشهد المتطور، أصبح التحرك الجانبي (lateral movement) رد فعل تلقائياً. يحدد الذكاء الاصطناعي الكمبيوتر المحمول للفني الذي يربط شبكة Wi-Fi للشركة بشبكة LAN للمصنع ويعبر هذه الفجوة في غضون أجزاء من الثانية. ويتعامل مع بروتوكولات صناعية غير آمنة التصميم مثل Modbus و BACnet و S7comm كطرق سريعة مفتوحة. وعندما يتسلسل اختراق نشأ من بيئة IT إلى بيئة OT بسرعة الآلة، لم يعد مجرد تسرب للبيانات. بل هو إغلاق لخط إنتاج في المصنع أو فتح صمام أمان. إنه الذئب ينتقل من الشاشة إلى العالم المادي. يفوز الخصم الوكيل (agentic adversary) بتناظر المعلومات (information asymmetry). فهو يزدهر في فجوة المعلومات: المساحة بين ما تعتقد أنه موجود على شبكتك وما هو موجود بالفعل. لم يعد جرد الأصول مجرد إجراء شكلي للامتثال؛ بل يحدد حدود منطقة الصيد الخاصة بك. بينما ينصب اهتمامك على الاستغلال الوشيك الذي يضرب خوادمك الآمنة، فإن وكيل الذكاء الاصطناعي يحدد بالفعل نقاط الاختناق (choke points) التي لم تكن تعلم بوجودها: الجهاز الفردي متعدد المنافذ (multi-homed device) أو محطة العمل المنسية التي تمنح وصولاً كاملاً إلى المناطق الحيوية في شبكتك. لا يمكنك الهروب من مفترس إذا كنت تتعثر بسبب نقاطك العمياء. للبقاء على قيد الحياة، يجب أن تتحول الاستراتيجيات الدفاعية من التفاعل إلى التصلب البيئي الاستباقي (proactive environmental hardening). وقد قامت شركة runZero ببناء أحدث قدراتها لحرمان الخصم من الظلال التي يحتاجها للعمل، وتشمل:

• رسم خرائط ما لا يمكن رسمه (Mapping the unmappable): قدمت runZero القدرة على رؤية ما وراء بوابات البروتوكولات (protocol gateways). حيث ترى الأدوات التقليدية عنوان IP لبوابة واحدة، تستفيد runZero من مكتبتها التي لا مثيل لها من مجسات البروتوكولات الآمنة (proprietary IT, IoT, and OT protocol safe-probes) لاكتشاف العشرات من أجهزة PLC والأجهزة على مستوى الحقل الموجودة في الشبكة السفلية، مما يضمن عدم بقاء أي أصل صناعي مخفياً.
• إضاءة المجهول (Illuminating the unknown): يمكن لنماذج الوكلاء البحث بسرعة عن نقاط الوصول غير المصرح بها (rogue access points)، وأجهزة IoT المنسية، وتقنيات الظل (shadow IT) التي تفتقر إلى التغطية الأمنية. يستخدم اكتشاف runZero غير المصادق عليه (unauthenticated discovery) هذه الرؤى المتقدمة للبروتوكولات لتحديد الأصول غير المدارة دون الحاجة إلى وكلاء (agents) أو بيانات اعتماد، مما يضمن ألا تصبح نقاطك العمياء نقطة دخول رئيسية للخصم.
• التحقق من الافتراضات (Validating the assumption): تُظهر الأبحاث الحديثة حول تقسيم الشبكة (network segmentation) أن العديد من هذه المسارات تكون عرضية. يتيح رسم خرائط مسارات الهجوم التفاعلية (interactive attack path mapping) تجاوز الافتراضات، وتصوير كيف يمكن للمهاجم استخدام هذه البيئات متعددة البروتوكولات (multi-protocol environments) للتحرك جانبياً عبر أنظمة IT و OT على حد سواء.
• العمل بناءً على ذكاء الأصول (Acting on Asset Intelligence): معرفة أن لديك نقاط ضعف لا يكفي؛ تحتاج إلى معرفة أيها الأكثر أهمية لمعالجته أولاً. تحدد runZero أولويات المخاطر من خلال تحديد نقاط الاختناق الدقيقة حيث تتقاطع نقاط الضعف الخاصة بك مع مسارات الهجوم الفعالة عبر البروتوكولات. بدلاً من إضاعة الدورات في إصلاح كل شيء، يمكنك تحصين نقاط الاختناق الدفاعية الدقيقة التي تقطع تماماً طريق المتسلل إلى أصولك الحيوية.

السياق وتأثير السوق

يمثل ظهور وكلاء الذكاء الاصطناعي الهجوميين قطيعة حادة مع النماذج الأمنية التاريخية التي سادت لعقود. ففي العصر السابق، كانت الاستراتيجيات الدفاعية مبنية على معرفة التهديد، حيث كانت الجهات الفاعلة السيئة تعتمد على ثغرات معروفة (Known Exploited Vulnerabilities) وحملات تستغرق وقتاً للكشف عنها وتحليلها. كان نشر التصحيحات وتحديث قواعد البيانات الخاصة بأنظمة الكشف عن التسلل (IDS/IPS) وأنظمة إدارة المعلومات والأحداث الأمنية (SIEM) كافياً لتوفير مستوى معقول من الحماية. ومع ذلك، فإن هذه النماذج أصبحت غير مجدية الآن لأن الهجمات لم تعد تترك توقيعاً ثابتاً ولا تمنح المدافعين الوقت الكافي للاستجابة. يتطلب المشهد الجديد تحولاً جذرياً في التركيز من اكتشاف التهديدات بعد وقوعها إلى فهم البيئة الدفاعية قبل أن تُستغل. إن المقارنة بالحلول التقليدية تُظهر مدى قصورها؛ فجدران الحماية، وأنظمة كشف التطفل، وحتى حلول إدارة الثغرات التقليدية، صُممت للتعامل مع تهديدات أبطأ وأكثر قابلية للتحديد. أما الآن، فنحن نواجه تحدياً جديداً حيث يتطلب الأمر رؤية عميقة للأصول والشبكة بأكملها، بما في ذلك الأصول غير المدارة والظاهرة في الطبقات الدنيا من الشبكة (Layer 2 and below). ونتيجة لذلك، من المتوقع أن يشهد السوق تحولاً في أولويات الإنفاق على الأمن السيبراني، مع تزايد الطلب على حلول الاكتشاف المستمر للأصول (Continuous Asset Discovery)، وإدارة التعرض للتهديدات (Threat Exposure Management)، ورسم خرائط مسارات الهجوم بشكل استباقي. تأثير السوق سيتجاوز مجرد تحديث الأدوات. سيتطلب الأمر إعادة تقييم شاملة للمخاطر، خاصة في القطاعات التي تعتمد بشكل كبير على البنية التحتية الحرجة وتقنيات التشغيل (OT)، مثل الصناعة والطاقة والنقل. هذه القطاعات، التي كانت تعتمد على فكرة "العزل الهوائي"، ستكون الأكثر عرضة للخطر. سيتعين على الشركات ليس فقط الاستثمار في التقنيات الجديدة ولكن أيضاً في تدريب الموظفين وتطوير استراتيجيات استجابة جديدة تتناسب مع سرعة التهديدات التي يقودها الذكاء الاصطناعي. إن الشركات التي تفشل في التكيف ستواجه مخاطر تشغيلية ومالية غير مسبوقة، وقد تكون عرضة للاختراقات التي لا تكتشف إلا بعد فوات الأوان.

رؤية Glitch4Techs

إن ظهور وكلاء الذكاء الاصطناعي الهجوميين ليس مجرد تطور تقني؛ إنه تغيير في النموذج يفرض على مجتمع الأمن السيبراني بأكمله إعادة التفكير في افتراضاته الأساسية. الحقيقة المحتومة هي أن هذه النماذج، رغم أنها لم تصل بعد إلى الاستقلالية الكاملة في كل هجوم، فإن هذا هو أقل مستوياتها قدرة على الإطلاق. المفترس يتعلم، وسرعته وقدرته على التكيف ستزداد بشكل مطرد. من وجهة نظر Glitch4Techs، تكمن المخاطر الأمنية الرئيسية في نقاط العمى (blind spots) التي تتجاهلها المؤسسات حالياً. فالتركيز على نقاط الضعف الظاهرة والتصحيحات المتأخرة يعني أن معظم المنظمات لا تزال تبحث عن آثار صيادي الأمس، بينما يطوّقها جيل جديد من الخصوم الوكلاء. إن عدم القدرة على رؤية الصورة الكاملة لجميع الأصول المتصلة، لا سيما في الطبقات السفلية من الشبكة وعند تقاطع IT و OT، يخلق فجوات هائلة يمكن استغلالها في أجزاء من الثانية. نتوقع أن يؤدي هذا التطور إلى تسريع هائل في الحاجة إلى حلول الأمن السيبراني الاستباقية التي تركز على الرؤية الشاملة للأصول وإدارة التعرض للمخاطر. لن يكون كافياً مجرد اكتشاف الهجمات؛ بل يجب تحديد نقاط الاختناق في الشبكة وتأمينها قبل أن يتمكن الخصم من استغلالها. يجب أن تتحول المؤسسات نحو نهج "الصيد الاستباقي" الذي يعتمد على أدوات متقدمة لرسم خرائط الشبكة والكشف عن الأصول غير المدارة. التحدي الأكبر يكمن في بناء دفاعات ديناميكية تتكيف بنفس سرعة الهجمات، وربما يتطلب ذلك استخدام وكلاء دفاعيين مدعومين بالذكاء الاصطناعي لمواجهة الوكلاء الهجوميين. السباق بدأ، والنجاة تعتمد على قدرتنا على رؤية المفترس قبل أن ينقض.