أثارت أداة جديدة لاختبارات الاختراق تعتمد على الذكاء الاصطناعي، ومرتبطة بشركة مقرها الصين، قلقًا واسعًا بعد أن سجلت ما يقارب 11 ألف تحميل عبر مستودع Python Package Index (PyPI). الأداة المعروفة باسم Villager أثبتت قدرتها على أتمتة عمليات الاختبار الأمني، لكنها في الوقت نفسه قد تُستغل بشكل خبيث من قبل مجرمي الإنترنت.
أداة Villager وأصلها
تم تقييم Villager على أنها من تطوير شركة Cyberspike، والتي تروج لها كحل لفِرق الـ Red Teaming بهدف أتمتة سير عمل الاختبارات. ظهرت الحزمة لأول مرة على PyPI في يوليو 2025 من قبل مستخدم باسم stupidfish001، وهو لاعب سابق في مسابقات CTF لفريق HSCSEC الصيني.
حذر باحثو Straiker من أن Villager قد تسلك مسار أدوات مثل Cobalt Strike، التي بدأت كأدوات مشروعة للاختبارات الأمنية، ثم أصبحت منتشرة بين الفاعلين الخبثاء في الحملات السيبرانية.
صعود الأدوات الهجومية المدعومة بالذكاء الاصطناعي
يأتي ظهور Villager بعد كشف شركة Check Point عن محاولات مهاجمين استغلال أداة ناشئة أخرى تسمى HexStrike AI. ومع انتشار نماذج الذكاء الاصطناعي التوليدي، أصبحت هذه التقنيات وسيلة لتسريع الهجمات وتسهيلها، بدءًا من الهندسة الاجتماعية وحتى إعداد البنية التحتية للهجوم.
واحدة من أبرز المزايا هي أنها تخفض عتبة المهارة المطلوبة، بحيث يتمكن حتى المهاجمون الأقل خبرة من تنفيذ هجمات متقدمة في وقت قصير، عبر أتمتة تطوير الثغرات وتسليم الحمولات الخبيثة.
قالت Check Point:
“يمكن موازاة عمليات الاستغلال على نطاق واسع، حيث يقوم الوكلاء بمسح آلاف عناوين الـIP في وقت واحد، مع تكرار المحاولات تلقائيًا حتى النجاح.”
ارتباط Villager بـ Cyberspike
سُجِّل نطاق cyberspike[.]top لأول مرة في نوفمبر 2023 من قبل شركة صينية تُدعى Changchun Anshanyuan Technology Co., Ltd. ووفقًا للأرشيفات، كان يتم تسويق الأداة كمنصة لمحاكاة الهجمات واختبارات ما بعد الاختراق.
لكن تحليلات لاحقة كشفت أن المنتج يدمج إضافات خاصة بـ RAT (أداة وصول عن بُعد)، مثل:
-
الوصول المكتبي عن بُعد.
-
اختراق حسابات Discord.
-
تسجيل ضربات المفاتيح.
-
السيطرة على الكاميرا.
كما تم العثور على تشابهات مع أداة AsyncRAT، إلى جانب دمج أدوات شهيرة مثل Mimikatz.
القدرات التقنية لـ Villager
تعمل Villager كعميل MCP (Model Context Protocol)، وتتوافق مع أدوات Kali Linux وLangChain ونماذج DeepSeek. وتوفر إمكانيات متقدمة تشمل:
-
أتمتة عمليات المسح والتقييم الأمني داخل حاويات Kali Linux مؤقتة تُدمَّر بعد 24 ساعة.
-
قاعدة بيانات ضخمة تضم 4,201 موجهًا ذكائيًا لتوليد الاستغلالات واتخاذ القرارات في الوقت الفعلي.
-
استخدام منافذ SSH عشوائية لتضليل التحليلات الجنائية وصعوبة الإسناد.
-
واجهة FastAPI لمعالجة المهام، ومنصة Pydantic AI لتوحيد المخرجات.
قال الباحثون:
“تقلل Villager من المهارات والوقت المطلوبين لتشغيل سلاسل الأدوات الهجومية، مما يمكّن المهاجمين الأقل خبرة من القيام باختراقات متقدمة.”
الميزة الجوهرية تكمن في بنيتها القائمة على المهام والأهداف بدلًا من أنماط الهجوم التقليدية، وهو ما يمثل تحولًا جذريًا في طريقة تنفيذ الهجمات السيبرانية.
مع زيادة سرعة وتواتر الاستطلاع الآلي ومحاولات الاستغلال، تُهدد أدوات مثل Villager بزيادة الأعباء على المؤسسات في مجال الكشف والاستجابة. وبينما يتم تسويقها كأداة للاختبارات الأمنية، فإن دمجها لتقنيات RAT وأدوات اختراق شهيرة يجعلها مثار قلق بالغ حول إمكانية إساءة استخدامها من قبل الفاعلين الخبثاء.
