ثغرة أمنية في برنامج مايكروسوفت كوبيلوت: تحذير جديد بشأن خطر تسريب البيانات من الذكاء الاصطناعي.

مع ازدياد اعتماد الذكاء الاصطناعي على كل مهمة، بدءًا من المساعدة في كتابة التقارير والرد على رسائل البريد الإلكتروني وصولًا إلى تحليل البيانات، يبدو أن المستخدمين يعيشون في عصر من الراحة غير المسبوقة. لكن الجانب السلبي لهذه الراحة بدأ يظهر أيضًا، لا سيما في المسائل الأمنية.

لقد أدى ثغرة أمنية حديثة، أطلق عليها اسم EchoLeak، إلى تعريض مستخدمي خدمة Microsoft Copilot لخطر تسريب البيانات الحساسة دون الحاجة إلى اتخاذ أي إجراء.

عندما يصبح الذكاء الاصطناعي ثغرة أمنية

وفقًا لتحقيق أجرته Tuoi Tre Online ، فإن EchoLeak هو ثغرة أمنية تم تحديدها حديثًا برمز CVE-2025-32711، والتي صنفها الخبراء على أنها خطيرة بنسبة 9.3/10 على مقياس NIST.

ما يقلق خبراء الأمن هو طبيعتها "بدون نقر" : يمكن للمهاجمين استغلال البيانات من Copilot دون أن ينقر المستخدم أو يفتح الملفات أو حتى يعلم أن أي شيء يحدث.

هذه ليست مجرد ثغرة بسيطة. يعتقد فريق البحث في مختبرات Aim Labs، الذي اكتشف هذه الثغرة، أن EchoLeak يعكس خللاً تصميمياً شائعاً في أنظمة الذكاء الاصطناعي والوكلاء القائمة على تقنية RAG (التوليد المعزز بالاسترجاع). ولأن Copilot جزء من حزمة تطبيقات Microsoft 365، التي تضم رسائل البريد الإلكتروني والمستندات وجداول البيانات وتقاويم الاجتماعات لملايين المستخدمين، فإن خطر تسريب البيانات بالغ الخطورة.

لا تكمن المشكلة في جزء الكود المحدد فحسب، بل في كيفية عمل لغات النماذج الكبيرة (LLMs). يحتاج الذكاء الاصطناعي إلى سياق واسع لتقديم استجابات دقيقة، ولذلك يُمنح إمكانية الوصول إلى كميات هائلة من البيانات الخلفية. وبدون تحكم واضح في تدفق المدخلات والمخرجات، يمكن التلاعب بالذكاء الاصطناعي بشكل كامل دون علم المستخدم. وهذا يخلق نوعًا جديدًا من "الثغرات"، ليس بسبب وجود ثغرة في الكود، بل لأن سلوك الذكاء الاصطناعي يتجاوز الفهم البشري.

أصدرت مايكروسوفت تحديثًا أمنيًا سريعًا، ولم تُسجّل أي خسائر فعلية حتى الآن. لكن الدرس المستفاد من تسريب إيكو واضح: عندما يُدمج الذكاء الاصطناعي بعمق في أنظمة العمل، فإن أي خطأ بسيط في فهمه للسياق قد يؤدي إلى عواقب أمنية وخيمة.

كلما أصبح الذكاء الاصطناعي أكثر سهولة في الاستخدام، كلما أصبحت البيانات الشخصية أكثر عرضة للخطر.

تُثير حادثة EchoLeak تساؤلاً مُقلقاً: هل يُفرط المستخدمون في الثقة بالذكاء الاصطناعي دون إدراك إمكانية تتبعهم أو كشف معلوماتهم الشخصية بمجرد رسالة واحدة؟ إن الثغرة الأمنية المكتشفة حديثاً، والتي تسمح للمخترقين باستخراج البيانات خلسةً دون أن يضغط المستخدم على أي زر، كانت في السابق ضرباً من الخيال العلمي، لكنها أصبحت اليوم واقعاً ملموساً.

في حين أن تطبيقات الذكاء الاصطناعي أصبحت شائعة بشكل متزايد، بدءًا من المساعدين الافتراضيين مثل Copilot وبرامج الدردشة الآلية في مجال الخدمات المصرفية والتعليم ، وصولًا إلى منصات الذكاء الاصطناعي لكتابة المحتوى ومعالجة البريد الإلكتروني، فإن معظم الناس لا يتم تحذيرهم بشأن كيفية معالجة بياناتهم وتخزينها.

لم يعد "التحدث" مع نظام الذكاء الاصطناعي مجرد إرسال بعض الأسئلة المريحة؛ بل يمكن أن يكشف عن غير قصد عن موقعك أو عاداتك أو مشاعرك أو حتى معلومات حسابك.

في فيتنام، يستخدم الكثيرون الذكاء الاصطناعي على هواتفهم وحواسيبهم دون معرفة أساسية بأمن المعلومات . ويشارك الكثيرون معلوماتهم الشخصية مع الذكاء الاصطناعي، معتقدين أنه "مجرد آلة". إلا أن الحقيقة هي أن وراءه نظاماً قادراً على تسجيل البيانات وتعلمها ونقلها إلى جهات أخرى، خاصةً عندما تكون منصة الذكاء الاصطناعي تابعة لجهة خارجية ولم تخضع لتدقيق أمني شامل.

للتخفيف من المخاطر، لا يتعين على المستخدمين بالضرورة التخلي عن التكنولوجيا، ولكن عليهم أن يكونوا أكثر وعياً: يجب عليهم التحقق بعناية مما إذا كانت تطبيقات الذكاء الاصطناعي التي يستخدمونها تأتي من مصدر موثوق، وما إذا كانت البيانات مشفرة، وعلى وجه الخصوص، يجب عليهم عدم مشاركة المعلومات الحساسة مثل أرقام الهوية وتفاصيل الحسابات المصرفية والمعلومات الصحية وما إلى ذلك مع أي نظام ذكاء اصطناعي دون تحذير واضح.

تمامًا كما هو الحال عندما ظهر الإنترنت لأول مرة، يحتاج الذكاء الاصطناعي أيضًا إلى وقت لينضج، وخلال ذلك الوقت، يجب أن يكون المستخدمون أول من يحمي نفسه بشكل استباقي.