كشفت شركة زينيتي الإسرائيلية للأمن السيبراني مؤخرًا عن أول ثغرة أمنية من نوع "النقر الصفري" يتم اكتشافها في خدمة ChatGPT التابعة لشركة OpenAI. لا يتطلب هذا النوع من الهجمات قيام المستخدمين بأي إجراء، مثل النقر على رابط أو فتح ملف أو التفاعل بشكل مقصود، ولكنه مع ذلك قادر على الوصول إلى الحسابات وتسريب البيانات الحساسة.
بحسب مراسل وكالة الأنباء الفيتنامية في تل أبيب، أوضح ميخائيل بيرغوري، المؤسس المشارك والمدير التقني لشركة زينيتي، بشكل مباشر كيف يمكن للمخترق، بمجرد حصوله على عنوان البريد الإلكتروني للمستخدم، التحكم بشكل كامل في المحادثات - بما في ذلك المحتوى السابق والمستقبلي، وتغيير الغرض من المحادثات، وحتى التلاعب ببرنامج ChatGPT ليتصرف وفقًا لرغبات المخترق.
أظهر الباحثون في عرضهم التقديمي أن برنامج ChatGPT المخترق قد يتحول إلى "عميل خبيث" يعمل خلسةً ضد المستخدمين. إذ يمكن للمخترقين أن يدفعوا برنامج الدردشة الآلي إلى اقتراح تنزيل برامج مصابة بالفيروسات، أو تقديم نصائح تجارية مضللة، أو الوصول إلى الملفات المخزنة على Google Drive إذا كان حساب المستخدم متصلاً.
جرت العملية برمتها دون علم المستخدم. ولم يتم إصلاح الثغرة الأمنية بالكامل إلا بعد أن أبلغت شركة زينيتي شركة أوبن إيه آي.
بالإضافة إلى ChatGPT، قامت Zenity أيضاً بمحاكاة العديد من الهجمات المماثلة التي استهدفت منصات أخرى شائعة لمساعدي الذكاء الاصطناعي. وفي استوديو Copilot التابع لشركة مايكروسوفت، اكتشف الباحثون كيفية تسريب قواعد بيانات إدارة علاقات العملاء (CRM) بالكامل.
في حالة Salesforce Einstein، يمكن للمتسللين إنشاء طلبات خدمة وهمية لإعادة توجيه جميع اتصالات العملاء إلى عناوين البريد الإلكتروني التي يتحكمون بها.
كما تم تحويل Google Gemini و Microsoft 365 Copilot إلى "عملاء معادين"، حيث قاموا بتنفيذ مخططات التصيد الاحتيالي وتسريب المعلومات الحساسة من خلال رسائل البريد الإلكتروني وأحداث التقويم.
وفي مثال آخر، تم استغلال أداة تطوير البرمجيات Cursor، عند دمجها مع Jira MCP، لسرقة بيانات اعتماد تسجيل دخول المبرمجين من خلال "تذاكر" مزيفة.
أفادت شركة زينيتي بأن بعض الشركات، مثل أوبن إيه آي ومايكروسوفت، سارعت إلى إصدار تحديثات أمنية بعد تلقيها التنبيه. مع ذلك، رفضت شركات أخرى معالجة المشكلة، مدعيةً أن السلوك المكتشف كان "ميزة تصميمية" وليس ثغرة أمنية.
بحسب ميخائيل بيرغوري، يكمن التحدي الأكبر اليوم في أن مساعدي الذكاء الاصطناعي لا يقتصر دورهم على أداء مهام بسيطة، بل أصبحوا "كيانات رقمية" تمثل المستخدمين، قادرة على فتح المجلدات وإرسال الملفات والوصول إلى رسائل البريد الإلكتروني. ويحذر من أن هذا الوضع يُشكل "ملاذاً آمناً" للمخترقين، نظراً لكثرة الثغرات الأمنية التي يمكن استغلالها.
أكد بن كاليجر، المؤسس المشارك والرئيس التنفيذي لشركة زينيتي، أن أبحاث الشركة تُظهر أن أساليب الأمان الحالية لم تعد كافية لكيفية عمل مساعدي الذكاء الاصطناعي. وحثّ المؤسسات على تغيير نهجها، والاستثمار في حلول متخصصة للتحكم في أنشطة هؤلاء "العملاء" ومراقبتها.
تأسست شركة زينيتي عام 2021. ويبلغ عدد موظفيها حالياً حوالي 110 موظفين حول العالم، منهم 70 موظفاً يعملون في مكتبها بتل أبيب. وتضم قائمة عملاء زينيتي العديد من شركات قائمة فورتشن 100، وحتى شركات من قائمة فورتشن 5.
المصدر: https://www.vietnamplus.vn/israel-canh-bao-tro-ly-ai-co-the-tro-thanh-tac-nhan-doc-hai-tan-cong-nguoi-dung-post1054883.vnp
تعليق (0)