آینده امنیت سایبری اساساً نسخه‌ای دیجیتالی از «ربات‌های مشت‌زن» است که هوش مصنوعی تهاجمی و دفاعی را در برابر یکدیگر قرار می‌دهد—یا حداقل این برداشتی است که گزارش NBC در مورد دیدگاه صنعت به هوش مصنوعی ارائه می‌دهد.

«در ماه‌های اخیر، هکرها از هر نوعی — مجرمان سایبری، جاسوسان، محققان و مدافعان شرکتی — شروع به گنجاندن ابزارهای هوش مصنوعی در کار خود کرده‌اند،» این گزارش می‌گوید. «مدل‌های زبان بزرگ (LLM)، مانند ChatGPT، هنوز مستعد خطا هستند. اما آن‌ها در پردازش دستورالعمل‌های زبانی و ترجمه زبان ساده به کد کامپیوتری، یا شناسایی و خلاصه‌سازی اسناد، به طرز چشمگیری ماهر شده‌اند.»

NBC در ادامه توضیح می‌دهد که چگونه گوگل آسیب‌پذیری‌ها را با هوش مصنوعی کشف کرده است، چگونه CrowdStrike «از هوش مصنوعی برای کمک به افرادی که فکر می‌کنند هک شده‌اند استفاده می‌کند،» و چگونه یک استارتاپ به نام Xbow یک هوش مصنوعی توسعه داده که در ماه ژوئن موفق شد «به صدر جدول امتیازات HackerOne U.S. صعود کند.» (HackerOne از آن زمان جدول امتیازات خود را به ردیاب‌های جداگانه برای محققان فردی و «گروه‌ها» مانند Xbow تقسیم کرده است.)

اوایل این ماه گزارش دادم که CrowdStrike هشدار داده است که چگونه عوامل کره شمالی از هوش مصنوعی مولد استفاده می‌کنند تا رزومه‌ها، حساب‌های رسانه‌های اجتماعی و سایر موادی را ایجاد کنند که برای فریب شرکت‌های فناوری غربی به استخدام آن‌ها استفاده می‌شود، و در آن مرحله آن‌ها به استفاده از ابزارهای هوش مصنوعی برای برقراری ارتباط با همکاران، نوشتن کد و حفظ ظاهری عادی در حین دریافت حقوق خود روی می‌آورند.

کاربرد هوش مصنوعی برای این منظور—و همچنین برای خلاصه‌سازی اسناد—به خوبی اثبات شده است. (یا حداقل بهتر از توانایی آن در انجام تحقیقات پیچیده امنیت سایبری به تنهایی اثبات شده است؛ هنوز در استخراج حقایق به خصوص خوب نیست.) اما به نظر می‌رسد برای اعلام فرا رسیدن عصر هک با هوش مصنوعی کمی زود است، به خصوص که اغلب به عنوان یک عامل تقویت‌کننده نیرو به جای یک راه‌حل کاملاً خودکار استفاده می‌شود.

هدر ادکینز، معاون رئیس مهندسی امنیت گوگل، به NBC گفت که او «کسی را ندیده است که با هوش مصنوعی چیز جدیدی پیدا کند،» و این «فقط کاری است که ما از قبل می‌دانیم چگونه انجام دهیم.» او همچنین گفت «این پیشرفت خواهد کرد،» اما محققان، شرکت‌ها و سازمان‌های مستقل به طور یکسان از دهه 1960 به ما اطمینان داده‌اند که هوش مصنوعی «بسیار فراتر از محدودیت‌های فعلی خود» پیشرفت خواهد کرد، بنابراین ما در اینجا در یک بازه زمانی طولانی عمل می‌کنیم.

صعود Xbow به صدر جدول امتیازات HackerOne نیز جالب است، اما همچنین مقدار زیادی «آشغال» تولید شده توسط ابزارهای هوش مصنوعی مشابه را نادیده می‌گیرد که وعده کمک به محققان امنیتی برای یافتن آسیب‌پذیری‌ها را می‌دهند. دانیل استنبرگ، توسعه‌دهنده اصلی پروژه متن‌باز curl که عملاً هر دستگاه متصل به اینترنت به آن متکی است، بارها از مقدار زمانی که برای «آسیب‌پذیری‌های» یافت شده توسط هوش مصنوعی هدر داده است، گلایه کرده است.

استنبرگ در یک پست وبلاگی اخیر در مورد این مشکل گفت: «روند کلی تا کنون در سال 2025 بسیار بیشتر از همیشه آشغال هوش مصنوعی بوده است (حدود 20٪ از کل ارسالی‌ها) زیرا ما به طور متوسط حدود دو گزارش امنیتی در هفته داشته‌ایم.» (تاکید از اوست.) «در اوایل جولای، حدود 5٪ از ارسالی‌ها در سال 2025 آسیب‌پذیری‌های واقعی از آب درآمدند. نرخ اعتبار به طور قابل توجهی در مقایسه با سال‌های گذشته کاهش یافته است.»

استنبرگ اخیراً در مورد این مشکل سخنرانی کرد، و خواندن پست وبلاگی او در سال 2024 در مورد این پدیده نیز ارزش دارد. توسعه‌دهنده اصلی یک پروژه که در بیش از 20 میلیارد دستگاه استفاده می‌شود، این مقدار زمان را صرف اشاره به این موضوع—و نه فقط مقابله با آن—می‌کند. چند نفر دیگر از نگه‌دارندگان پروژه‌های متن‌باز با مشکلات مشابهی دست و پنجه نرم می‌کنند، اما بدون همان میزان دید؟

بنابراین هوش مصنوعی در حملات مهندسی اجتماعی مانند طرح کارگران فناوری کره شمالی مفید بوده است، سرعت کشف آسیب‌پذیری‌ها توسط محققان گوگل را افزایش داده است، و راه‌هایی برای بازی با جدول امتیازات HackerOne پیدا کرده است. NBC همچنین گزارش داد که هکرهای روسی شروع به جاسازی هوش مصنوعی در بدافزارهایی کرده‌اند که علیه اوکراین استفاده می‌شود تا «به طور خودکار کامپیوترهای قربانیان را برای فایل‌های حساس جستجو کرده و به مسکو ارسال کنند.»

اما به تنهایی آسیب‌پذیری‌های جالب زیادی پیدا نکرده است، پروژه‌های متن‌باز را با گزارش‌های بی‌ربط بمباران می‌کند، و ما هیچ ایده‌ای نداریم که آیا هوش مصنوعی مورد استفاده برای یافتن فایل‌های حساس به نمایندگی از روسیه اطلاعات ارزشمندی تولید کرده است یا خیر. (به خصوص اگر از هوش مصنوعی خواسته شده باشد که اسناد به خطر افتاده را خلاصه کند و سپس اطلاعات آبداری را توهم کرده باشد زیرا نمی‌خواست خانواده مجازی‌اش به گولاگ فرستاده شوند.)

آیا این برای اعلام عصر هک با هوش مصنوعی کافی است، یا فقط یک عارضه جانبی دیگر از علاقه گسترده‌تر به هوش مصنوعی است که توسط هزینه‌های گزاف بزرگترین شرکت‌های فناوری جهان، روندهای سرمایه‌گذاری از سوی طبقه سرمایه‌گذاری خطرپذیر، و درگیری‌های ژئوپلیتیکی بر سر آنچه دو گروه قبلی صنعت آینده اعلام کرده‌اند، تغذیه می‌شود؟