مائیکروسافٹ کا پائلٹ کمزوری: AI ڈیٹا لیک کے خطرے پر نئی وارننگ

جیسا کہ مصنوعی ذہانت (AI) رپورٹیں لکھنے، ای میلز کا جواب دینے سے لے کر ڈیٹا کا تجزیہ کرنے تک ہر چیز کا حصہ بن جاتی ہے، ایسا لگتا ہے کہ ہم بے مثال سہولت کے دور میں رہ رہے ہیں۔ لیکن سہولت کا منفی پہلو بھی واضح ہونا شروع ہو رہا ہے، خاص طور پر جب بات سیکیورٹی کی ہو۔

EchoLeak کے نام سے ایک حالیہ سیکیورٹی کمزوری نے مائیکروسافٹ کوپائلٹ سروس کے صارفین کو بغیر کسی کارروائی کے ان کا حساس ڈیٹا لیک ہونے کے خطرے میں ڈال دیا ہے۔

جب AI سیکیورٹی کا خطرہ بن جاتا ہے۔

Tuoi Tre Online کی تحقیق کے مطابق، EchoLeak کوڈ CVE-2025-32711 کے ساتھ ایک نیا ریکارڈ شدہ سیکیورٹی کمزوری ہے، جسے ماہرین نے NIST کے پیمانے کے مطابق 9.3/10 پر خطرناک قرار دیا ہے۔

سیکیورٹی ماہرین کو جس چیز کی پریشانی ہوتی ہے وہ یہ ہے کہ یہ فطرت میں "زیرو کلک" ہے: حملہ آور کوپائلٹ کے ڈیٹا کا فائدہ اٹھا سکتے ہیں بغیر صارف کو کلک کیے، فائل کھولے، یا یہ بھی معلوم ہو کہ کچھ ہو رہا ہے۔

یہ کوئی سادہ بگ نہیں ہے۔ Aim Labs کی تحقیقی ٹیم، جس نے اس خامی کو دریافت کیا، کا خیال ہے کہ EchoLeak ایجنٹ- اور RAG پر مبنی AI سسٹمز میں ڈیزائن کی ایک عام خامی کو ظاہر کرتا ہے۔ چونکہ Copilot ایپس کے مائیکروسافٹ 365 سوٹ کا حصہ ہے جس میں لاکھوں صارفین کی ای میلز، دستاویزات، اسپریڈ شیٹس اور میٹنگ کا نظام الاوقات موجود ہے، اس لیے ڈیٹا کے اخراج کا امکان خاصا سنگین ہے۔

مسئلہ صرف مخصوص کوڈ میں نہیں ہے، بلکہ بڑے لینگویج ماڈلز (LLMs) کے کام کرنے کے طریقے میں ہے۔ AIs کو درست جواب دینے کے لیے بہت سارے سیاق و سباق کی ضرورت ہوتی ہے، اور اس لیے انہیں بہت سارے پس منظر کے ڈیٹا تک رسائی دی جاتی ہے۔ ان پٹ اور آؤٹ پٹ پر واضح کنٹرول کے بغیر، AIs کو ان طریقوں سے "چلایا" جا سکتا ہے جن سے صارفین واقف نہیں ہیں۔ اس سے ایک نئی قسم کا "بیک ڈور" بنتا ہے جو کوڈ میں کسی خامی کی وجہ سے نہیں، بلکہ اس لیے کہ AIs انسانی سمجھ سے باہر برتاؤ کرتے ہیں۔

مائیکروسافٹ نے فوری طور پر ایک پیچ جاری کیا، اور ابھی تک حقیقی دنیا کے کسی نقصان کی اطلاع نہیں ملی ہے۔ لیکن EchoLeak سے سبق واضح ہے: جب AI کو کام کرنے والے نظاموں میں گہرائی سے ضم کیا جاتا ہے، یہاں تک کہ اس کے سیاق و سباق کو سمجھنے میں چھوٹی چھوٹی غلطیاں بھی بڑے حفاظتی نتائج کا باعث بن سکتی ہیں۔

جتنا آسان AI بنتا ہے، اتنا ہی نازک ذاتی ڈیٹا بن جاتا ہے۔

EchoLeak واقعہ ایک پریشان کن سوال اٹھاتا ہے: کیا لوگ AI پر اتنا بھروسہ کرتے ہیں کہ انہیں یہ احساس ہی نہیں ہوتا کہ انہیں ٹریک کیا جا سکتا ہے یا ان کی ذاتی معلومات کو محض ایک ٹیکسٹ میسج کے ذریعے سامنے لایا جا سکتا ہے ؟ ایک نئی دریافت شدہ کمزوری جو ہیکرز کو بغیر کسی بٹن کے صارفین کو خاموشی سے ڈیٹا نکالنے کی اجازت دیتی ہے وہ ایسی چیز ہے جو کبھی صرف سائنس فکشن فلموں میں دیکھی جاتی تھی، لیکن اب ایک حقیقت ہے۔

اگرچہ AI ایپلی کیشنز تیزی سے مقبول ہو رہی ہیں، ورچوئل اسسٹنٹ جیسے Copilot، چیٹ بوٹس سے لے کر بینکنگ، ایجوکیشن ، سے لے کر AI پلیٹ فارمز تک جو مواد لکھتے ہیں اور ای میلز پر کارروائی کرتے ہیں، زیادہ تر لوگوں کو اس بارے میں خبردار نہیں کیا جاتا کہ ان کے ڈیٹا کو کیسے پروسیس اور اسٹور کیا جاتا ہے۔

AI سسٹم کے ساتھ "چیٹ کرنا" اب صرف سہولت کے لیے چند سوالات پوچھنا نہیں ہے، بلکہ یہ نادانستہ طور پر آپ کے مقام، عادات، جذبات، یا اکاؤنٹ کی معلومات کو بھی ظاہر کر سکتا ہے۔

ویتنام میں، بہت سے لوگ ڈیجیٹل سیکیورٹی کی بنیادی معلومات کے بغیر فون اور کمپیوٹر پر AI استعمال کرنے سے واقف ہیں۔ بہت سے لوگ AI کے ساتھ نجی معلومات کا اشتراک کرتے ہیں کیونکہ انہیں یقین ہے کہ "یہ صرف ایک مشین ہے"۔ لیکن حقیقت میں، اس کے پیچھے ایک ایسا نظام ہے جو ڈیٹا کو ریکارڈ، سیکھنے اور دوسری جگہوں پر منتقل کر سکتا ہے، خاص طور پر جب AI پلیٹ فارم کسی تھرڈ پارٹی سے آتا ہے اور سیکیورٹی کے لیے اس کا واضح طور پر تجربہ نہیں کیا گیا ہوتا ہے۔

خطرات کو محدود کرنے کے لیے ضروری نہیں ہے کہ صارفین کو ٹیکنالوجی کو ترک کرنا پڑے، بلکہ مزید آگاہ ہونے کی ضرورت ہے: انہیں احتیاط سے جانچنا چاہیے کہ آیا وہ جو AI ایپلیکیشن استعمال کر رہے ہیں اس کا کوئی قابل اعتماد ذریعہ ہے، آیا ڈیٹا انکرپٹڈ ہے یا نہیں، اور خاص طور پر کسی بھی AI سسٹم کے ساتھ واضح طور پر خبردار کیے بغیر حساس معلومات جیسے کہ ID نمبر، بینک اکاؤنٹس، صحت کی معلومات کا اشتراک نہ کریں ۔

بالکل اسی طرح جیسے جب انٹرنیٹ پہلی بار پیدا ہوا تھا، AI کو بھی کامل ہونے کے لیے وقت درکار ہوتا ہے اور اس وقت کے دوران، صارفین کو سب سے پہلے خود کو فعال طور پر محفوظ رکھنا چاہیے۔