كشفت تقارير تقنية النقاب عن "ثغرة خطيرة" في خوادم OpenAI، أُطلق عليها اسم "Shadow Leak"، تهدد ملايين المستخدمين. بينما أفاد الخبراء بأنه تم اكتشاف الثغرة داخل أداة البحث العميق من ChatGPT.
ونوهت التقارير إلى أن ما يجعل هذه الثغرة مختلفة عن معظم الثغرات التقليدية هو طبيعتها الخفية، حيث أنها تسمح للمهاجمين باستخراج بيانات حساسة من خوادم OpenAI مباشرة، دون أي تفاعل من جانب المستخدم، أو حتى إدراكه بأن عملية اختراق تجري في الخلفية.
وأشار الخبراء إلى أن هذه الثغرة "هجوم بلا نقرة واحدة". موضحين أن المهاجم لا يحتاج إلى أي إذن أو إجراء من المستخدم. ولفتت التقارير النظر إلى أنه لا توجد إشارات مرئية على أن البيانات قد تعرضت للاختراق.
ونوهت إلى أن الأمر يتم بالكامل عبر وكلاء مستقلين يعملون على خوادم OpenAI السحابية، وهو ما يجعل مهمة فرق الأمن السيبراني أكثر تعقيداً من أي وقت مضى.
والخطير في الأمر أن Shadow Leak يعمل بمعزل عن الشبكات أو نقاط النهاية المعتادة، مما يجعله شبه غير مرئي لأدوات الكشف التقليدية.
وبين الخبراء أنه حتى رسالة بريد إلكتروني تحتوي على تعليمات خفية، كفيلة بدفع أداة البحث العميق إلى تسريب المعلومات الحساسة تلقائياً، وهو ما يشكل تهديداً مباشراً للشركات التي تربط أنظمتها الداخلية بتقنيات الذكاء الاصطناعي.
وأكدوا أن الشركات لا يمكنها الاعتماد فقط على الضمانات المدمجة داخل أدوات الذكاء الاصطناعي للحماية من الاستغلال.
وذكروا أن المهاجمين قد يستغلون سير العمل المبني على الذكاء الاصطناعي بطرق لم تكن متوقعة، وغالباً ما تتجاوز قدرات الرؤية والكشف الخاصة بحلول الأمن التقليدية.
ونوهت التقارير إلى أنه مع تجاوز عدد مستخدمي ChatGPT التجاريين المدفوعين حاجز الـ 5 ملايين مستخدم، فإن احتمالية وقوع حوادث تسريب واسعة النطاق ليست مستبعدة.
وشدد الخبراء على ضرورة تبني الشركات استراتيجيات أمنية أكثر شمولية، تشمل الرقابة البشرية المستمرة، وضوابط صارمة لإدارة الوصول، وتحديث تقييمات المخاطر بشكل دوري.
ونبهت التقارير إلى أن الجمع بين القدرات الهائلة للذكاء الاصطناعي والوعي الأمني المؤسسي، يظل السبيل الأمثل للاستفادة من مزايا هذه الأدوات، دون الوقوع ضحية لمخاطرها الخفية.
يُشار إلى أن اعتماد الشركات حول العالم على أدوات الذكاء الاصطناعي المتقدمة، في تزايد مُستمر، مثل أداة البحث العميق الخاصة بمنصة ChatGPT.
وبحسب ما ذكرته تقارير تقنية، لم تعد هذه الأدوات تقتصر على تسريع الأعمال وتحليل البريد الإلكتروني وبيانات إدارة علاقات العملاء والتقارير الداخلية لدعم القرارات الاستراتيجية، بل أصبحت في الوقت ذاته سيفاً ذا حدين يحمل في طياته فرصاً كبيرة ومخاطر لا تقل خطورة.
