مائیکروسافٹ کا پائلٹ سیکیورٹی کمزوری: AI ڈیٹا لیک کے خطرے پر نئی وارننگ

جیسا کہ مصنوعی ذہانت (AI) ہر کام کا حصہ بنتی ہے، رپورٹ لکھنے میں مدد کرنے، ای میلز کا جواب دینے سے لے کر ڈیٹا کا تجزیہ کرنے تک، ایسا لگتا ہے کہ صارفین بے مثال سہولت کے دور میں رہ رہے ہیں۔ لیکن سہولت کا تاریک پہلو بھی ابھرنا شروع ہو رہا ہے، خاص طور پر جب بات سیکیورٹی کی ہو۔

EchoLeak کے نام سے ایک حالیہ سیکیورٹی کمزوری نے مائیکروسافٹ کوپائلٹ سروس کے صارفین کو بغیر کسی کارروائی کے ان کا حساس ڈیٹا لیک ہونے کے خطرے میں ڈال دیا ہے۔

جب AI سیکیورٹی کا خطرہ بن جاتا ہے۔

Tuoi Tre Online کی تحقیق کے مطابق، EchoLeak ایک حفاظتی خطرہ ہے جسے ابھی ابھی CVE-2025-32711 کوڈ کے ساتھ ریکارڈ کیا گیا ہے، جسے ماہرین نے NIST کے پیمانے کے مطابق 9.3/10 پر خطرناک قرار دیا ہے۔

سیکیورٹی ماہرین کو جس چیز کی فکر ہوتی ہے وہ اس کی "زیرو کلک" نوعیت ہے: حملہ آور کوپائلٹ سے ڈیٹا کا فائدہ اٹھا سکتے ہیں بغیر صارف کو کلک کیے، فائل کھولے، یا یہ بھی معلوم ہو کہ کچھ ہو رہا ہے۔

یہ کوئی سادہ بگ نہیں ہے۔ Aim Labs کی تحقیقی ٹیم، جس نے اس خطرے کو دریافت کیا، کا خیال ہے کہ EchoLeak RAG (ریٹریول-آگمینٹڈ جنریشن) اور ایجنٹ پر مبنی AI سسٹمز میں ڈیزائن کی ایک عام خامی کو ظاہر کرتا ہے۔ چونکہ Copilot ایپلی کیشنز کے مائیکروسافٹ 365 سوٹ کا حصہ ہے جس میں لاکھوں صارفین کی ای میلز، دستاویزات، اسپریڈ شیٹس اور میٹنگ کا شیڈول ہوتا ہے، اس لیے ڈیٹا کے رساو کا خطرہ بہت سنگین ہے۔

مسئلہ صرف مخصوص کوڈ میں نہیں ہے، بلکہ بڑے لینگویج ماڈلز (LLMs) کے کام کرنے کے طریقے میں ہے۔ AIs کو درست جواب دینے کے لیے بہت سارے سیاق و سباق کی ضرورت ہوتی ہے، اور اس لیے انہیں پس منظر کے ڈیٹا کی بڑی مقدار تک رسائی دی جاتی ہے۔ ان پٹ اور آؤٹ پٹ پر واضح کنٹرول کے بغیر، AIs کو ان طریقوں سے "چلایا" جا سکتا ہے جن سے صارفین واقف نہیں ہیں۔ یہ ایک نئی قسم کا "بیک ڈور" بناتا ہے کوڈ میں کسی خامی کی وجہ سے نہیں، بلکہ اس لیے کہ AIs کا برتاؤ انسانی سمجھ سے باہر ہوتا ہے۔

مائیکروسافٹ نے فوری طور پر ایک پیچ جاری کیا، اور ابھی تک حقیقی دنیا کے کسی نقصان کی اطلاع نہیں ملی ہے۔ لیکن EchoLeak سے سبق واضح ہے: جب AI کو کام کرنے والے نظاموں میں گہرائی سے ضم کیا جاتا ہے، یہاں تک کہ اس کے سیاق و سباق کو سمجھنے میں چھوٹی چھوٹی غلطیاں بھی بڑے حفاظتی نتائج کا باعث بن سکتی ہیں۔

جتنا آسان AI، اتنا ہی نازک ذاتی ڈیٹا

ایکو لیک کا واقعہ ایک تشویشناک سوال اٹھاتا ہے: کیا صارفین AI پر اتنا بھروسہ کر رہے ہیں کہ انہیں یہ احساس ہی نہیں کہ انہیں ٹریک کیا جا سکتا ہے یا ان کی ذاتی معلومات کو محض ایک ٹیکسٹ میسج کے ذریعے سامنے لایا جا سکتا ہے ؟ ایک نئی دریافت شدہ کمزوری جو ہیکرز کو بغیر کسی بٹن کے صارفین کو خاموشی سے ڈیٹا نکالنے کی اجازت دیتی ہے وہ ایسی چیز ہے جو کبھی صرف سائنس فکشن فلموں میں دیکھی جاتی تھی، لیکن اب ایک حقیقت ہے۔

اگرچہ AI ایپلی کیشنز ورچوئل اسسٹنٹس جیسے Copilot، چیٹ بوٹس سے لے کر بینکنگ، ایجوکیشن ، AI پلیٹ فارمز تک تیزی سے مقبول ہو رہی ہیں جو مواد لکھتے ہیں، ای میلز پر کارروائی کرتے ہیں، زیادہ تر لوگوں کو اس بارے میں خبردار نہیں کیا جاتا کہ ان کے ڈیٹا کو کیسے پروسیس اور اسٹور کیا جاتا ہے۔

AI سسٹم کے ساتھ "چیٹ کرنا" اب صرف سہولت کے لیے چند سوالات پوچھنا نہیں ہے، بلکہ یہ نادانستہ طور پر آپ کے مقام، عادات، جذبات، یا اکاؤنٹ کی معلومات کو بھی ظاہر کر سکتا ہے۔

ویتنام میں، بہت سے لوگ ڈیجیٹل سیکیورٹی کی بنیادی معلومات کے بغیر فون اور کمپیوٹر پر AI استعمال کرنے سے واقف ہیں۔ بہت سے لوگ AI کے ساتھ نجی معلومات کا اشتراک کرتے ہیں کیونکہ انہیں یقین ہے کہ "یہ صرف ایک مشین ہے"۔ لیکن حقیقت میں، اس کے پیچھے ایک ایسا نظام ہے جو ڈیٹا کو ریکارڈ، سیکھنے اور کہیں اور منتقل کر سکتا ہے، خاص طور پر جب AI پلیٹ فارم کسی تھرڈ پارٹی سے آتا ہے اور سیکیورٹی کے لیے اس کا واضح طور پر تجربہ نہیں کیا گیا ہوتا ہے۔

خطرات کو محدود کرنے کے لیے ضروری نہیں ہے کہ صارفین کو ٹیکنالوجی کو ترک کرنا پڑے، بلکہ مزید آگاہ ہونے کی ضرورت ہے: انہیں احتیاط سے جانچنا چاہیے کہ آیا وہ جو AI ایپلیکیشن استعمال کر رہے ہیں اس کا کوئی قابل اعتماد ذریعہ ہے، آیا ڈیٹا انکرپٹڈ ہے یا نہیں، اور خاص طور پر کسی بھی AI سسٹم کے ساتھ واضح طور پر خبردار کیے بغیر حساس معلومات جیسے کہ ID نمبر، بینک اکاؤنٹس، صحت کی معلومات کا اشتراک نہ کریں ۔

بالکل اسی طرح جیسے جب انٹرنیٹ پہلی بار پیدا ہوا تھا، AI کو بھی کامل ہونے کے لیے وقت درکار ہوتا ہے اور اس وقت کے دوران، صارفین کو سب سے پہلے خود کو فعال طور پر محفوظ رکھنا چاہیے۔