۱۴۰۵/۰۴/۲۴🤖 BleepingComputer
📖 5 دقیقه

ماشین فروش آسیب‌پذیری: استخراج خودکار اکسپلویت‌های Zero-Day با هوش مصنوعی

تحلیل خط لوله هوشمند تیم Intruder برای کشف خودکار باگ‌های بحرانی و یک Zero-Day تزریق SQL در افزونه محبوب وردپرس. راهکارهای تست نفوذ و امنیت وب افتاچک.

هوش مصنوعی در حال تغییر دادن قواعد بازی در تحقیقات آسیب‌پذیری است. تیم امنیتی Intruder موفق به توسعه یک خط لوله خودکار شده است که با ترکیب ابزارهای سنتی اسکن کد (مانند Joern) و مدل‌های زبانی بزرگ (LLM)، می‌تواند زنجیره‌ای کامل از کشف تا تولید اکسپلویت عملیاتی را بدون دخالت انسان انجام دهد.

بزرگ‌ترین چالش استفاده از هوش مصنوعی در تحلیل‌های امنیتی، حجم وسیع پایگاه داده و سرریز شدن حافظه مدل (Context Window) است. این تیم با استفاده از تکنیک «برش برنامه» (Program Slice)، کدهای مرتبط با ورودی‌های مشکوک کاربر (مانند هوک‌های وردپرس و مسیرهای REST) را جدا کرده و به صورت کاملاً هدفمند به مدل‌های هوش مصنوعی ارسال می‌کند.

آسیب‌پذیری‌های شناسایی‌شده

⚠️خروجی این متدولوژی جدید، کشف یک آسیب‌پذیری Zero-Day بحرانی تزریق SQL کور (با شناسه CVE-2026-3985) در افزونه محبوب Creative Mail با بیش از ۳۰۰,۰۰۰ کاربر فعال بود. عامل هوش مصنوعی نه تنها باگ را شناسایی کرد، بلکه یک ساختار Proof-of-Concept (PoC) برای استخراج هش‌های مدیر از پایگاه داده وردپرس ایجاد نمود.

این ابزارها نشان می‌دهند که سرعت کشف باگ توسط مهاجمان و مدافعان به شدت در حال افزایش است و سازمان‌ها باید فرآیندهای تشخیص و تست نفوذ خود را با این سرعت همگام کنند.

افتاتچک می‌تواند با ممیزی امنیتی، هاردنینگ سرورها، تست نفوذ دوره‌ای و توسعه نرم‌افزار امن و سفارشی به کسب‌وکار شما کمک کند.

منبع این مقاله:BleepingComputer

این مقاله توسط تیم افتاچک ترجمه و خلاصه‌سازی شده است.