«آسیب‌پذیری در Azure AI Agent Service؛ تهدیدی جدی برای امنیت داده‌ها»

آمی لوتواک، مدیر ارشد فناوری Wiz، در گفت‌وگویی با TechCrunch گفت: «امنیت سایبری یک بازی ذهنی است. هر موج فناوری تازه فرصتی جدید برای مهاجمان ایجاد می‌کند.»

شرکت‌ها امروز با شتاب زیاد هوش مصنوعی را وارد فرآیندهای کاری می‌کنند؛ از کدنویسی با vibe coding گرفته تا عامل‌های هوش مصنوعی و ابزارهای نو. این شتاب سطح حمله را افزایش می‌دهد. توسعه‌دهندگان به کمک AI سریع‌تر کد می‌نویسند، اما میانبرها و اشتباهات در این مسیر حفره‌هایی برای نفوذ مهاجمان ایجاد می‌کند.

احراز هویت؛ پاشنه آشیل کدنویسی سریع

Wiz که گوگل امسال آن را با ۳۲ میلیارد دلار خرید، متوجه شد اپلیکیشن‌های vibe coding معمولاً در بخش احراز هویت ضعف دارند. سیستم احراز هویت باید هویت کاربران را بررسی کند، اما بسیاری از توسعه‌دهندگان آن را ساده طراحی می‌کنند تا سریع‌تر محصول را آماده کنند.

لوتواک توضیح داد: «عامل‌های کدنویسی دقیقاً همان کاری را انجام می‌دهند که به آن‌ها می‌گویید. اگر امنیت را به آن‌ها گوشزد نکنید، سیستم ناامن ساخته می‌شود.»

به این ترتیب، سازمان‌ها هر روز میان سرعت و امنیت باید یکی را انتخاب کنند.

مهاجمان از AI عقب نمی‌مانند

مهاجمان هم درست مثل توسعه‌دهندگان از ابزارهای AI برای جلو افتادن استفاده می‌کنند. آن‌ها با پرومپت‌نویسی و عامل‌های هوش مصنوعی، کدهای مخرب می‌سازند یا ابزارهای داخلی شرکت‌ها را برای سرقت اطلاعات فریب می‌دهند.

لوتواک گفت: «مهاجم پرومپتی به ابزار AI می‌دهد و از آن می‌خواهد فایل‌ها را حذف کند یا اسرار را ارسال کند. این دقیقاً همان چیزی است که امروز رخ می‌دهد.»

حملات زنجیره تأمین؛ راه نفوذ پنهان

حملات زنجیره تأمین به سرویس‌های شخص ثالثی هدف می‌زنند که دسترسی گسترده به زیرساخت شرکت دارند. وقتی این سرویس‌ها آسیب ببینند، مهاجم به راحتی راهی به عمق سیستم‌ها پیدا می‌کند.

ماه گذشته، مهاجمان شرکت Drift را هک کردند. Drift چت‌بات‌های AI برای بازاریابی می‌فروشد. مهاجمان توکن‌ها را سرقت کردند، خودشان را به جای چت‌بات جا زدند و به داده‌های Salesforce صدها شرکت بزرگ از جمله گوگل، Cloudflare و Palo Alto Networks دسترسی گرفتند.

نمونه خطرناک؛ حمله س1ingularity به Nx

در اوت ۲۰۲۵، مهاجمان سیستم ساخت Nx را آلوده کردند. این سیستم میان توسعه‌دهندگان جاوااسکریپت محبوب است. آن‌ها بدافزاری تزریق کردند که ابزارهای AI مانند Claude و Gemini را ربود. سپس این ابزارها سیستم‌ها را برای یافتن داده‌های ارزشمند اسکن کردند. این حمله هزاران توکن و کلید توسعه‌دهندگان را فاش کرد و دسترسی به مخازن خصوصی GitHub فراهم شد.

Wiz چگونه پاسخ می‌دهد؟

Wiz فعالیتش را با شناسایی پیکربندی‌های اشتباه و آسیب‌پذیری‌های ابری آغاز کرد، اما حالا ابزارهای بیشتری برای مقابله با حملات AI محور عرضه کرده است:

• Wiz Code (سپتامبر ۲۰۲۴): مشکلات امنیتی را در چرخه توسعه نرم‌افزار شناسایی می‌کند تا امنیت از ابتدا در طراحی لحاظ شود.
• Wiz Defend (آوریل ۲۰۲۵): تهدیدات فعال در محیط‌های ابری را در زمان اجرا شناسایی و خنثی می‌کند.

لوتواک گفت: «برای ساخت ابزار امنیتی باید بدانیم مشتری چه چیزی می‌سازد و چرا. تنها در این صورت ابزار امنیتی واقعاً مفید خواهد بود.»

چرا استارتاپ‌ها باید از روز اول امنیتی باشند؟

رشد ابزارهای AI باعث شد سیل استارتاپ‌های تازه به بازار بیاید. اما لوتواک هشدار داد: «شرکت‌ها نباید تمام داده‌های حساس خود را به استارتاپ‌های کوچک بدهند، فقط به خاطر وعده تحلیل‌های مبتنی بر AI.»

او توصیه می‌کند:

• استارتاپ‌ها باید از همان روز اول یک CISO داشته باشند.
• ویژگی‌هایی مثل احراز هویت قوی، لاگ‌برداری، کنترل دسترسی و SSO باید در همان ابتدا پیاده‌سازی شوند.
• امنیت و انطباق باید قبل از نوشتن اولین خط کد در اولویت باشند.

Wiz خودش قبل از تولید کد موفق شد گواهی SOC2 بگیرد. لوتواک می‌گوید گرفتن این گواهی برای تیم‌های کوچک به مراتب آسان‌تر از سازمان‌های بزرگ است.

معماری درست؛ کلید موفقیت AI استارتاپ‌ها

اگر یک استارتاپ قصد دارد از همان ابتدا بازار سازمانی را هدف بگیرد، باید معماری خود را طوری طراحی کند که داده‌های مشتری در محیط خود مشتری باقی بمانند. این تصمیم نه‌تنها اعتماد ایجاد می‌کند بلکه خطر نشت اطلاعات را کاهش می‌دهد.

آینده امنیت سایبری در عصر AI

امروز تقریباً همه بخش‌های امنیت، از محافظت در برابر فیشینگ گرفته تا ابزارهای ضد بدافزار، نیاز به بازنگری در برابر حملات مبتنی بر هوش مصنوعی دارند.

لوتواک در پایان گفت: «بازی باز است. وقتی مهاجمان هر بخش از امنیت را هدف قرار می‌دهند، ما باید تمام حوزه امنیت را از نو طراحی کنیم.»

جمع‌بندی

تهدیدات امنیتی هوش مصنوعی با سرعتی بی‌سابقه رشد می‌کنند. سازمان‌ها و استارتاپ‌ها تنها زمانی می‌توانند از این فرصت‌ها استفاده کنند که امنیت سایبری را از روز اول جدی بگیرند. هر شرکتی که امنیت را نادیده بگیرد، در آینده هزینه سنگین “بدهی امنیتی” را پرداخت خواهد کرد.

مهاجمان به کمک AI جلو می‌افتند، اما مدافعان هم می‌توانند با همان ابزار سرعت بگیرند. آینده امنیت سایبری به کسانی تعلق دارد که از AI نه به‌عنوان تهدید، بلکه به‌عنوان سپر دفاعی استفاده کنند.