ثغرة ماريمو: القراصنة يوظفون الذكاء الاصطناعي لسرقة البيانات

رصد خبراء استخدام القراصنة لعملاء الذكاء الاصطناعي في هجمات سيبرانية متطورة، حيث تم استغلال ثغرة ماريمو للوصول إلى بيانات حساسة بسرعة فائقة.

يشهد عالم الأمن الرقمي تحولاً جذرياً مع دخول تقنيات الذكاء الاصطناعي في عمليات الاختراق. فلم يعد المهاجمون يكتفون بالبرمجيات التقليدية، بل باتوا يعتمدون على عملاء النماذج اللغوية الكبيرة (LLM) لتنفيذ مهام معقدة بعد اختراق الأنظمة الأولية، وهو ما يرفع من وتيرة التهديدات ويزيد من صعوبة اكتشافها.

ما هي ثغرة ماريمو وكيف استغلها المهاجمون؟

تعود تفاصيل الواقعة إلى استغلال ثغرة أمنية حرجة تحمل الرمز CVE-2026-39987 في تطبيق Marimo، وهو تطبيق مخصص لدفاتر الملاحظات البرمجية. تسمح هذه الثغرة للمهاجمين بتنفيذ أوامر برمجية عن بعد دون الحاجة إلى صلاحيات دخول مسبقة، مما يفتح الباب أمام سرقة البيانات.

• الوصول الأولي إلى خوادم Marimo غير المحمية المتصلة بالإنترنت.
• استخراج بيانات اعتماد سحابية من البيئة المخترقة بشكل آلي.
• استخدام مفاتيح الوصول للوصول إلى خدمات إدارة الأسرار في AWS.
• الحصول على مفاتيح تشفير SSH للدخول إلى خوادم داخلية أكثر حساسية.

كيف ساعد الذكاء الاصطناعي في تنفيذ الهجمة السيبرانية؟

المثير في هذا الهجوم هو الاعتماد على الذكاء الاصطناعي لإدارة العمليات اللاحقة للاختراق. فبدلاً من قيام المهاجم البشري بكل خطوة يدوياً، قام عميل ذكي بتحليل البيئة واتخاذ قرارات فورية لسحب البيانات بكفاءة غير مسبوقة، وحسب تيكبامين، فقد تم تنفيذ العملية بالكامل في وقت قياسي.

لماذا يفضل القراصنة استخدام عملاء LLM؟

• السرعة الفائقة: تم سحب محتويات قاعدة بيانات كاملة في أقل من دقيقتين.
• القدرة على التكيف: قام العميل الذكي بتحليل هيكلية قاعدة البيانات دون معرفة مسبقة بها.
• التوازي في التنفيذ: فتح ثماني جلسات متزامنة لسحب البيانات بفعالية قصوى.

مراحل الهجوم التقني لسحب البيانات الداخلية

بدأت السلسلة الهجومية باختراق الخادم الأساسي، ثم انتقل العميل الذكي للبحث عن مفاتيح الوصول المخزنة في النظام. بعد الحصول عليها، تم استخدامها لاستعادة مفتاح SSH خاص عبر واجهات البرمجة، مما مكن المهاجم من تجاوز طبقات الحماية الداخلية والوصول إلى خادم "باستيون" (Bastion Server).

مؤشرات تدل على تورط عملاء الذكاء الاصطناعي في الاختراق

وفقاً لتقرير تقني اطلعت عليه تيكبامين، هناك علامات واضحة على أن هذه العملية لم تكن بشرية بالكامل، ومن أبرز هذه المؤشرات:

• ارتجال سحب البيانات: تم سحب جداول البيانات رغم غموض أسماء الخوادم وعدم وجود مخططات (Schema) جاهزة.
• تسريب تعليقات برمجية: ظهر تعليق باللغة الصينية يسأل "انظر ماذا يمكننا أن نفعل أيضاً"، وهو ما يشير إلى آلية تخطيط ذكية مسربة.
• دقة استهداف الجداول: الوصول إلى جداول كلمات المرور والبيانات الحساسة في دقائق معدودة رغم تعقيد البيئة.

مستقبل الأمن الرقمي في ظل التهديدات الذكية

يؤكد هذا التطور أن المهاجمين لم يعودوا بحاجة لرؤية بيئة العمل الخاصة بك للعمل داخلها؛ فالذكاء الاصطناعي قادر على الاستكشاف والتحليل بشكل مستقل. لذا، يصبح من الضروري على المؤسسات تحديث أنظمة Marimo إلى النسخة 0.23.0 فوراً لسد هذه الثغرة وتأمين بياناتها من أي هجمات سيبرانية مستقبلية.