كشف باحثو SentinelLABS خلال مؤتمر LABScon 2025 عن برمجية خبيثة أطلق عليها MalTerminal، وصفت بأنها أول برمجية خبيثة يتم رصدها في بيئات حقيقية تعمل بالاعتماد على الذكاء الاصطناعي التوليدي. تستخدم هذه البرمجية نموذج GPT-4 لتوليد شيفرات ضارة ديناميكياً تشمل برمجيات فدية وReverse Shells، ما يمثل تحولاً كبيراً في آليات تطوير البرمجيات الضارة ونشرها.
PromptLock نموذج أكاديمي بيّن المخاطر
في أغسطس 2025، كشفت شركة ESET عن برمجية PromptLock، التي اعتُبرت في البداية أول برمجية فدية مدعومة بالذكاء الاصطناعي. لكن تبين لاحقاً أنها مجرد نموذج إثبات مفهومي طوره باحثون في جامعة نيويورك لعرض المخاطر المحتملة.
يعمل PromptLock بلغة Golang ويعتمد على Ollama API لتشغيل نموذج لغوي محلي على جهاز الضحية. وبناء على أوامر مبرمجة مسبقاً، يولد سكربتات خبيثة بلغة Lua قادرة على العمل عبر أنظمة Windows وLinux وmacOS.
كما يتعرف على طبيعة الجهاز المصاب، سواء كان حاسوباً شخصياً أو خادماً أو جهاز تحكم صناعياً، ثم يقرر ما إذا كان سيستخرج البيانات أو يشفرها باستخدام خوارزمية SPECK 128-bit.
MalTerminal أول عينة ميدانية تستخدم LLM
على عكس PromptLock الذي كان مشروعاً بحثياً، جاء MalTerminal ليؤكد انتقال التهديد إلى بيئات حقيقية. تمكن باحثو SentinelLABS من تتبع الأداة عبر إنشاء قواعد YARA تستهدف مفاتيح API مدمجة وهياكل أوامر خاصة بالنماذج اللغوية. هذا النهج قادهم إلى مجموعة سكربتات Python وملف تنفيذي لنظام Windows باسم MalTerminal.exe.
أظهر التحليل أن الأداة تستخدم واجهة OpenAI API قديمة أوقفت بعد نوفمبر 2023، ما يعني إنشاءها قبل هذا التاريخ، لتصبح بذلك أقدم عينة معروفة من هذا النوع.
عند تشغيلها، تطلب الأداة من المهاجم تحديد ما إذا كان يريد إنشاء برمجية فدية أو Reverse Shell، ثم تستدعي GPT-4 لتوليد الشيفرة الخبيثة في وقت التنفيذ. هذه الآلية تجعل البرمجية قادرة على تجاوز تقنيات الكشف التقليدية القائمة على التواقيع، لأنها لا تحتوي مسبقاً على منطق ضار ثابت داخل الملف الأصلي.
كما عثر الباحثون على إصدارات تجريبية مثل TestMal2.py، وأداة تحمل اسم FalconShield من المرجح أنها محاولة من مطور MalTerminal لتجربة ماسح مضاد للبرمجيات الخبيثة.
التحديات ونقاط الضعف
يمثل MalTerminal مع PromptLock فئة جديدة من التهديدات، حيث بات بإمكان المهاجمين توليد شيفرات ضارة فريدة في كل عملية تشغيل، ما يعقد مهام الرصد والتحليل.
لكن لهذه الفئة نقاط ضعف جوهرية، إذ تعتمد على مفاتيح API ونماذج محلية وتعليمات مدمجة مسبقاً تمنح المدافعين فرصة لإفشالها عبر تعطيل المفاتيح أو حجب النماذج. ورغم أن هذا النوع من البرمجيات ما زال تجريبياً نسبياً، إلا أنه مؤشر واضح إلى أن المهاجمين يبتكرون باستمرار ويدفعون فرق الدفاع إلى تطوير استراتيجيات تركز على مراقبة أنشطة API ورصد الأوامر غير الاعتيادية للنماذج اللغوية.
