تهرّب البرمجيات الخبيثة من كاشفات الذكاء الاصطناعي: بين الحقيقة والمبالغة

مع تحوّل نماذج الذكاء الاصطناعي إلى أدوات أساسية في تحليل البرمجيات وكشف التهديدات، نشأت جبهة جديدة في سباق القطّ والفأر الأزلي بين المهاجمين والمدافعين: محاولة خداع النموذج نفسه. لم يعد بعض كتّاب البرمجيات الخبيثة يكتفون بإخفاء شيفرتهم عن أدوات الفحص التقليدية، بل بدؤوا يحاولون «التحدّث» إلى الذكاء الاصطناعي الذي يفحصها، عبر نصوص مدسوسة تستهدف سلوكه لا منطقه. هذه الظاهرة، التي يسمّيها الباحثون «التهرّب من الذكاء الاصطناعي» (AI Evasion)، تستحقّ فهمًا دقيقًا، خصوصًا أن كثيرًا مما يُتداول عنها مبالغ فيه أو غير دقيق.

أول حالة موثّقة: حقن الأوامر داخل برمجية خبيثة

في يونيو 2025، وثّقت شركة Check Point أوّل حالة معروفة لبرمجية خبيثة صُمّمت عمدًا لتجاوز الكشف المعتمد على الذكاء الاصطناعي، لا بتغيير شيفرتها، بل بمحاولة التلاعب بالنموذج نفسه. فقد رُفعت عيّنة إلى منصّة VirusTotal من هولندا، بدت ناقصة وأشبه بتجربة أوّلية، لكنها تضمّنت نصًّا موجّهًا للذكاء الاصطناعي لا للبشر، يحاول عبر «حقن الأوامر» (Prompt Injection) إقناع النموذج بأن الملف غير ضارّ. والمهمّ أن المحاولة فشلت؛ إذ لم تنطلِ الحيلة على النماذج المختبَرة. لكنها أطلقت إشارة إنذار مبكّر بأن فئة جديدة من التهديدات في طريقها للظهور.

الفرضية الشائعة التي لا تعمل

راجت فكرة مفادها أن المهاجمين يستطيعون حشو شيفرتهم بنصوص حسّاسة، كعبارات عن أسلحة نووية أو بيولوجية، لدفع النماذج إلى رفض قراءة الملف بدافع حذرها من هذه المواضيع، فتمرّ البرمجية دون فحص. تبدو الفكرة منطقية ظاهريًا، لكن الأبحاث التجريبية تدحضها.

ففي دراسة حالة حديثة منشورة على منصّة arXiv أُجريت على أحد نماذج Claude المتقدّمة، اختُبرت هذه التقنية تحديدًا ضمن فئات متعدّدة من «المحتوى الخامل»: تعليقات مضلّلة، وتهديدات قانونية، وسلاسل نصّية حول مواضيع حسّاسة، وتركيبات منها. وكانت النتيجة واضحة: لم يُحدِث أيّ من هذا تأثيرًا يُذكر. فالنموذج صنّف هذا المحتوى المدسوس بوصفه «كودًا ميتًا» (Dead Code) أو محاولة «حقن أوامر»، في كل الاختبارات تقريبًا، ومضى في تحليله دون أن ينخدع. بعبارة أخرى، مجرّد رشّ كلمات مخيفة في الشيفرة لا يعطّل التحليل، لأن النموذج يميّز بين النصّ المحيط والمنطق البرمجي الفعلي.

ما الذي يؤثّر فعلًا إذن؟

المفارقة التي كشفتها الأبحاث أن النماذج تتعامل مع البرمجيات الخبيثة الحقيقية بحذر أكبر لا أقلّ. فحين تواجه دوالّ تحمل منطقًا خبيثًا متماسكًا فعليًا، كبناء كائنات بيانات اعتماد أو رسائل فدية أو قوائم استغلال، تميل إلى رفض المساعدة في الشيفرة المقروءة الواضحة. أي أن وضوح النية الخبيثة يستدعي الرفض، لا الكلمات المحيطة بها. التهديد الحقيقي يكمن في مكان آخر تمامًا: في التعمية (Obfuscation) وإخفاء المنطق، لا في حشو نصوص حسّاسة.

التقنيات التي تنجح فعلًا (من منظور دفاعي)

توثّق أبحاث الأمن السيبراني أن أساليب التهرّب الفعّالة تتركّز في ثلاثة اتجاهات. الأوّل هو دفن الحمولة الخبيثة وسط كمّ هائل من الشيفرة الحشوية عديمة المعنى، وهو ما رُصد في حملات مثل DeepLoad التي استخدمت شيفرة مولّدة بالذكاء الاصطناعي لإغراق أدوات الفحص. والثاني هو حقن الأوامر عبر محتوى خارجي يصل إليه الوكيل، كصفحات ويب تحتوي تعليمات خفيّة تأمر النموذج بالرفض أو إعادة التوجيه؛ وقد رصدت أبحاث حالات استخدمت «انتحال صفة السلطة» أو سلاسل سحرية مزيّفة تحاكي أوامر مزوّدي النماذج. والثالث، وهو الأخطر، استغلال «وضع التحليل الجنائي»: إذ لوحظ في الأبحاث أن بعض النماذج قد تتراجع عن رفضها وتُفكّك شيفرة خبيثة بالكامل حين تُقدَّم لها معمّاة، بدافع رغبتها في «المساعدة على التحليل».

كيف يحمي المطوّرون والفرق الأمنية أنفسهم؟

الدرس العملي أن الذكاء الاصطناعي أداة قوية لكنها ليست خطّ الدفاع الوحيد. ينبغي ألّا يُعتمد على فحص النموذج وحده حكمًا نهائيًا، بل ضمن منظومة دفاع متعدّدة الطبقات تجمع التحليل الساكن والديناميكي والسلوكي. ومن المهمّ معاملة أيّ محتوى يصل إلى النموذج من مصدر غير موثوق، كملفات أو صفحات أو تبعيات خارجية، بوصفه بيانات لا أوامر، وعدم السماح لمخرجات الفحص بأن تتحوّل تلقائيًا إلى قرارات. كما تتوفّر اليوم أدوات متخصّصة لفحص «مهارات» الوكلاء وملفّاتها بحثًا عن سلوك غير موثوق، وهي إضافة مفيدة مع تنامي الاعتماد على الوكلاء.

خلاصة

«التهرّب من الذكاء الاصطناعي» جبهة حقيقية وآخذة في التطوّر، لكنها محاطة بكثير من اللبس. التقنية التي يظنّها كثيرون فعّالة، أي حشو نصوص حسّاسة لإرباك النموذج، أثبتت الأبحاث فشلها، بينما التهديد الحقيقي أكثر دهاءً ويكمن في التعمية واستغلال ميل النموذج للمساعدة. والدرس الأعمق لكلّ فريق أمني أن النموذج اللغوي مُكمِّل للتحليل البشري والأدوات التقليدية، لا بديل عنها. في سباق القطّ والفأر هذا، يبقى التنوّع في طبقات الدفاع، والشكّ المنهجي في المحتوى غير الموثوق، هو خطّ الحماية الأمتن.