AI في عالم الجريمة السيبرانية السفلي: الضجة تلتقي بالحرفة
جدول المحتويات
عندما نقرأ اليوم عن AI والجريمة السيبرانية، يبدو كثير من الكلام كأنه خيال علمي: malware مستقل، superhackers رقميون، ونماذج تفكك شبكات الشركات ليلا من دون تدخل. أرى أن هذه الرواية مريحة أكثر مما ينبغي. هي صاخبة وسهلة التسويق، لكنها تصرف النظر عن المشكلة الحقيقية.
الخطر في AI داخل الجريمة السيبرانية ليس أن كل مجموعة إجرامية أصبحت تملك عبقريا في القبو. الخطر أن كثيرا من خطوات العمل المملة أصبحت أرخص وأسرع وأسهل في التوسع: الترجمة، إعادة الصياغة، فرز الضحايا، جعل phishing أكثر إقناعا، شرح الكود، تصحيح الأخطاء، تحليل تسريبات البيانات، تنويع نصوص social engineering، تغليف الأدوات، وجعل الادعاءات تبدو أكثر احترافا.
أخطر AI في الجريمة السيبرانية ليس الهاكر الخارق المستقل، بل المساعد الذي يسرع العمل الإجرامي الروتيني.
العالم السفلي نادرا ما يبيع الحقيقة الخالصة
يجب أن نبدأ هذا الموضوع بقدر من الشك. في المنتديات الإجرامية ومجموعات Telegram وعروض cybercrime-as-a-service توجد ادعاءات كثيرة. بعض البائعين يقدمون أدوات حقيقية. آخرون يبيعون أدوات open source بعد تغيير اسمها، أو wrappers بسيطة فوق نماذج عامة، أو حسابات مسروقة، أو jailbreak prompts، أو لوحات عديمة الفائدة، أو احتيالا على محتالين آخرين.
إعلان “AI hacking tool” لا يعني أنها أداة مبهرة تقنيا. دراسة USENIX عن خدمات Malla، أي “Malicious LLM-integrated applications”، فحصت 212 خدمة حقيقية ووجدت ثمانية backend LLM و 182 jailbreak prompts. السوق حقيقي، لكن كثيرا من العروض ليست نماذج سرية خارقة، بل wrappers و jailbreaks وإساءة استخدام لنماذج عامة أو مفتوحة.
Google Threat Intelligence يصف النمط نفسه مع Xanthorox: تم تسويقه كنموذج هجومي مستقل، لكنه بحسب Google اعتمد على APIs تجارية مكسورة القيود ومكونات open source. الغلاف يبدو كمختبر سري، أما التقنية تحته فغالبا أبسط بكثير.
لذلك لا تكفي رؤيتان متطرفتان: أن نقول إن كل شيء مجرد hype، أو أن نقول إن AI سيبتلع الجريمة السيبرانية ويجعل الأمن التقليدي بلا قيمة. الرؤية الأفضل أبرد: AI ليس سحرا، لكنه يناسب workflows موجودة. إذا وفرت الأداة وقتا، وخفضت عوائق اللغة، وصنعت نسخا أكثر في الساعة، فستصبح جذابة.
ما أصبح معقولا اليوم
تقارير OpenAI و Google Threat Intelligence و Europol ترسم صورة متقاربة: المهاجمون يستخدمون generative AI حيث يسرع العمل ويرفع الجودة. ليس بديلا كاملا للمهارة، بل مضخم لها.
المجالات الأهم هي phishing و social engineering، الاحتيال وإساءة استخدام الهوية، معالجة البيانات المسروقة، المساعدة التقنية، والتغليف والبيع. النصوص تصبح أكثر طبيعية ومحلية. الملفات الشخصية والفواتير وطلبات الدعم وقصص الاستثمار تصبح أكثر إقناعا. logs و dumps و mailbox و CRM exports و screenshots و chats يمكن فرزها بسرعة أكبر. النماذج تشرح code، وتعدل scripts، وتفهم errors، وتبني regex، وتساعد في ترتيب أفكار exploit. حتى tool متوسط يمكن توثيقه وتسويقه ودعمه بشكل أفضل.
أقوى الأدلة في الاحتيال
كلما صار الادعاء أكثر تقنية، أصبحت الأدلة العامة غالبا أضعف. في fraud و social engineering الوضع مختلف. تقرير FBI IC3 لعام 2025 يستخدم descriptor “AI Related” ويسجل 22,364 شكوى بخسائر مبلغة قدرها 893,346,472 دولارا. هذا ليس قياسا جنائيا مثاليا، لكنه إشارة قوية.
تبرز investment scams المرتبطة ب AI بأكثر من 632 مليون دولار خسائر، وقضايا BEC بأكثر من 30 مليونا، و employment scams بما يقارب 13 مليونا. هذا يطابق الفكرة: أكبر ضرر موثق لا يأتي من malware مستقل، بل من خداع أفضل، وتوسع أكبر، وهويات أكثر إقناعا.
ما لا أصدقه
لا أعتقد أننا وصلنا إلى مرحلة تستخدم فيها المجموعات الإجرامية على نطاق واسع AI agents مستقلة تختار أهدافا واقعية، وتخترقها، وتتحرك lateral، وتسحب البيانات، وتكمل الابتزاز من دون توجيه بشري.
ستوجد تجارب و proofs of concept. لكن التقارير الموثوقة تظهر استخداما في مهام جزئية: البحث، الترجمة، مساعدة الكود، تحضير الحملات، توليد variants، social engineering، وتحليل البيانات. NCSC البريطاني يرى أيضا أن الهجمات المتقدمة end-to-end المؤتمتة بالكامل غير مرجحة حتى 2027. الاحتمال الأقوى هو human-machine teaming.
الجريمة السيبرانية لا تحتاج أن تصبح مستقلة بالكامل كي تصبح أخطر. يكفي أن تبدأ المجموعات نفسها محاولات أكثر، وتوطن الرسائل أسرع، وتتعلم أسرع، وتبدو أكثر احترافا.
جودة الخداع ترتفع
كثير من مفاهيم الأمن ما زالت تعتمد على إدراك البشر: الموظفون يبلغون عن رسائل مشبوهة، يلاحظون الروابط المزيفة، ينتبهون للغة الغريبة، ويشككون في الطلبات غير المعتادة. هذا مهم، لكنه يصبح أصعب.
إذا استطاع المهاجم كتابة فاتورة بأسلوب مورد معروف، وطلب دعم يناسب بيئة منتج حقيقية، ورسالة LinkedIn لا تبدو مترجمة آليا، ونشر scam بعشر لغات، فيجب أن يتغير الدفاع.
نحتاج إلى مكابح تقنية:
- MFA قوي، ويفضل أن يكون phishing-resistant
- Conditional Access وربط الأجهزة
- مصادقة بريدية عبر SPF و DKIM و DMARC
- كشف إساءة استخدام OAuth apps
- حماية من inbox rules جديدة و forwarding مشبوه
- عمليات دفع وموافقة خارج البريد
- logging قبل الضرر لا بعده
Cybercrime-as-a-Service يصبح أكثر احترافا
الجريمة السيبرانية مقسمة منذ زمن: initial-access brokers، phishing kits، malware loaders، برامج ransomware affiliate، data brokers، hosting، bulletproof infrastructure، غسل أموال، مترجمون، call centers وقنوات دعم.
AI يدخل بسهولة في هذه البنية. المزود يكتب documentation أسرع. affiliate يكيف الحملة أسرع. data broker يصف leak أفضل. scammer يرد على العملاء. developer يصحح الأخطاء أسرع. والمجرم الأقل خبرة يتجاوز العوائق التقنية بسهولة أكبر.
Microsoft يصف هذا الدور باسم “tradecraft”: مسرع للنص، code، media، تلخيص البيانات، بناء personas، malware debugging و infrastructure scaffolding. Google ترى أيضا تجارب مثل HONESTCUE. هذا مهم، لكنه أجزاء داخل workflow، وليس دليلا على هجمات مستقلة جماعية.
المدافع يرى ضجيجا أكثر
بالنسبة إلى admins و MSPs و security teams، يزداد الضجيج: phishing variants أكثر، fake support مكتوب جيدا، scans أنظف، recon نصف مؤتمت، exploits مزعومة، reports تبدو معقولة، و tools تحمل AI في الاسم بلا عمق تقني.
السؤال المركزي ليس: “هل استخدم AI؟” السؤال الأفضل: هل يوجد attacker path حقيقي؟ هل لدينا system متأثر؟ هل identity layer محمي؟ هل توجد external attack surface؟ هل telemetry تظهر exploitation أو preparation؟ هل impact مثبت أم مجرد ادعاء؟ هل أحتاج patch أو configure أو block أو monitor أو document فقط؟
هذا ينسجم مع فكرتي عن Patchday في عصر AI: الإشارات تزداد، لكن الأمن لا يكسب بالذعر من كل رقم، بل بترتيب الأولويات.
تقليل سطح الهجوم يصبح أثمن
كلما زادت قابلية الهجمات للتوسع، زادت قيمة التخفيض الممل: خدمات عامة أقل، أدوات محلية أقل، إضافات متصفح أقل، حسابات admin أقل، tokens طويلة الأمد أقل، shadow IT أقل، موافقات سريعة أقل، وأنظمة اختبار قديمة بلا مالك أقل. هذا ليس هجوما مضادا براقا. إنه hygiene. لكنه يصبح أهم عندما يتحسن الخداع ويصبح recon أرخص.
ما العمل الآن
الأسئلة العملية واضحة: هل الحسابات المهمة phishing-resistant؟ هل نرى identity events مشبوهة مثل OAuth apps جديدة، مواقع دخول غريبة، inbox rules جديدة، forwarding مشبوه، ومحاولات فاشلة كثيرة؟ هل لدينا عمليات واضحة للمال والبيانات والوصول؟ هل نتحقق من الطلبات الحرجة عبر قناة ثانية؟ هل remote hiring و helpdesk صارمان بما يكفي؟ هل patching مبني على الخطر؟ هل نقلل الأدوات غير الضرورية؟
تقديري
AI في عالم الجريمة السيبرانية السفلي ليس نقاشا بعيدا. إنه جزء من طريقة العمل الآن. لكن النقطة الأهم ليست كلمة “AI” المثيرة. النقطة الأهم هي السرعة.
الجريمة السيبرانية تصبح أكثر إنتاجية، أفضل لغويا، أكثر أتمتة، وأفضل تغليفا. كثير من العروض مبالغ فيه، وبعضها scam، وبعضها عادي تقنيا. ومع ذلك يتحرك السوق.
التغيير الحقيقي يحدث في الخطوات الوسطى: text، code، data، support، variants، scale. هناك يجب أن يبدأ المدافعون.
AI لا يجعل الجريمة السيبرانية عبقرية تلقائيا. لكنه يجعل الجريمة السيبرانية المتوسطة أكثر إنتاجية. وهذا يكفي ليكون أمرا خطيرا.
إلى اللقاء في المرة القادمة،
Joe
المصادر
- Google Threat Intelligence Group: Adversarial misuse of generative AI
- Google Threat Intelligence Group: Distillation, experimentation, and continued integration of AI for adversarial use
- OpenAI: Disrupting malicious uses of AI by state-affiliated threat actors
- OpenAI: Disrupting malicious uses of AI, October 2025
- Microsoft Threat Intelligence: AI as tradecraft
- FBI IC3: 2025 Internet Crime Report
- USENIX Security 24: Malla
- Europol: Internet Organised Crime Threat Assessment 2026
- NCSC: Impact of AI on cyber threat from now to 2027
