هشدار مایکروسافت درباره سوءاستفاده از APIهای هوش مصنوعی

مایکروسافت گزارش داد که بدافزار SesameOp برای دریافت و اجرای فرمان‌ها از OpenAI Assistants API بهره می‌برد؛ هدف از این عملیات حفظ دسترسی بلندمدت و انجام فعالیت‌های جاسوسی عنوان شده است.

به گزارش افتانا، مایکروسافت از کشف درِ پشتی با نام SesameOp خبر داده است که از رابط برنامه‌نویسی کاربردی (API) سرویس دستیارهای OpenAI به‌عنوان کانال فرمان و کنترل (C2) برای ارتباطات مخفیانه استفاده می‌کند. به گفته تیم تشخیص و پاسخ مایکروسافت (DART)، این بدافزار به‌جای بهره‌گیری از روش‌های سنتی از زیرساخت OpenAI سوء‌استفاده می‌کند تا فعالیت‌های مخرب خود را در محیط آلوده به‌صورت پنهانی هدایت و مدیریت کند.

مایکروسافت در گزارش فنی منتشرشده در روز دوشنبه اعلام کرد: بخشی از این درِ پشتی از API دستیارهای OpenAI به‌عنوان ابزاری برای ذخیره‌سازی یا انتقال داده استفاده می‌کند تا دستوراتی را از سرور دریافت و اجرا کند.

بر اساس یافته‌های این شرکت، مایکروسافت نخستین‌بار در جولای ۲۰۲۵ این بدافزار را در جریان یک حادثه‌ امنیتی پیچیده شناسایی کرده است؛ حادثه‌ای که مهاجمان توانسته بودند برای چندین ماه در محیط قربانی حضور و دسترسی پنهان خود را حفظ کنند. نام سازمان یا شرکت آسیب‌دیده اعلام نشده است. در جریان بررسی‌های بیشتر، مایکروسافت به ساختار پیچیده‌ای از وب‌شل‌ها درون شبکه‌ داخلی قربانی دست یافت که وظیفه‌ اجرای دستوراتی را بر عهده داشتند که از فرایندهای مخرب و ماندگار در سیستم منتقل می‌شدند. این فرایندها با دستکاری ابزارهای توسعه‌Visual Studio و تزریق کتابخانه‌های آلوده از طریق روشی موسوم بهAppDomainManager injection فعال می‌شدند. بدافزارSesameOp به‌گونه‌ای طراحی شده است که پایداری طولانی‌مدت در سیستم قربانی را حفظ کند و به مهاجم اجازه دهد دستگاه‌های آلوده را به‌صورت مخفیانه مدیریت کند؛ موضوعی که نشان‌دهنده‌ هدف جاسوسی و دسترسی بلندمدت مهاجمان است.

رابطOpenAI Assistants API این امکان را برای توسعه‌دهندگان فراهم می‌کند تا دستیارهای هوشمند مبتنی بر هوش مصنوعی را مستقیماً در برنامه‌ها و جریان‌های کاری خود ادغام کنند. طبق اعلام OpenAI، این API قرار است تا اوت ۲۰۲۶ از رده خارج شود و باAPI جدیدی به نام Responses API جایگزین شود.

هویت سازندگان یا گردانندگان SesameOp هنوز مشخص نشده است، اما مایکروسافت تأکید کرده که این حمله نشان‌دهنده‌ روند فزاینده‌ سوءاستفاده از ابزارهای قانونی برای اهداف مخرب است؛ رویکردی که باعث می‌شود فعالیت مهاجمان در میان ترافیک عادی شبکه پنهان بماند. مایکروسافت همچنین اعلام کرده که یافته‌های خود را با شرکت OpenAI به‌اشتراک گذاشته و این شرکت کلید API و حساب کاربری مربوط به مهاجمان را شناسایی و مسدود کرده است.