كشف باحثون في الامن السيبراني عن وجود ثغرة تقنية دقيقة في انظمة شات جي بي تي تسمح للمخترقين بتنفيذ هجمات تصيد احتيالي متطورة عبر استغلال ميزة تلخيص صفحات الويب. وتعتمد هذه الهجمات على تقنية حقن الاوامر الخبيثة التي تخدع النموذج وتجعله يعالج ملفات بامتداد مارك داون التي تحتوي على روابط وصور مشبوهة يتم دمجها داخل المواقع.
واوضحت الدراسات التقنية ان النموذج لا يمتلك القدرة الكافية على التمييز بين المحتوى الاصلي للصفحة والمحتوى المحقون من قبل المهاجمين. وبين الخبراء ان هذا الخلل يسمح للذكاء الاصطناعي بعرض بيانات حساسة للمستخدم بمجرد طلب تلخيص الصفحة الملوثة.
واكد الباحثون ان هذه الثغرة التي اطلق عليها اسم تصيد شات جي بي تي قد لا تقتصر على هذا التطبيق فقط. واضافوا ان المشكلة قد تمتد لتشمل مجموعة واسعة من نماذج الذكاء الاصطناعي التوليدي نظرا لارتباطها بطريقة عمل هذه الانظمة الحديثة.
آلية عمل هجمات حقن الاوامر
وبين التقرير ان الثغرة تعمل عبر اخفاء اوامر برمجية داخل صفحات الانترنت تهدف لاستخراج بيانات المستخدم الخاصة. وكشفت التحليلات ان النظام يقوم تلقائيا بالكشف عن عنوان الاي بي الخاص بالمستخدم ومعلومات موقعه الجغرافي ونوع الجهاز المستخدم.
واوضحت البيانات ان الثغرة تتضمن ايضا آلية خفية لارسال هذه المعلومات مباشرة الى خوادم المهاجمين. واضاف المختصون ان هذه العملية تتم دون ان يشعر المستخدم باي نشاط غير طبيعي اثناء تصفحه للنتائج.
وتابعت التقارير ان الخطر يتضاعف عند قيام المستخدم بالضغط على روابط خارجية او مسح رموز استجابة سريعة يولدها الذكاء الاصطناعي بناء على الاوامر المحقونة. واكد الخبراء ان هذا الاجراء يمنح المهاجمين فرصة للسيطرة الكاملة على الاجهزة الشخصية للضحايا.
مخاطر امنية مركبة في عصر الذكاء الاصطناعي
وشدد الباحثون على ان طبيعة هذه الهجمات تمثل تحديا كبيرا نظرا لارتباطها بقدرات الذكاء الاصطناعي الجوهرية. واضافوا ان هذه الثغرات يصعب معالجتها برمجيا بالطرق التقليدية لانها تستهدف منطق عمل النموذج نفسه.
وبينت التحذيرات ان المستخدمين يجب ان يكونوا اكثر حذرا عند التعامل مع ملخصات الصفحات التي يقدمها الذكاء الاصطناعي. واكد الخبراء ضرورة تجنب الضغط على اي روابط مشبوهة او مسح رموز غامضة تظهر ضمن مخرجات الدردشة.
واشار المختصون في ختام تحليلهم الى ان هذه الثغرة تفتح نقاشا واسعا حول امن انظمة الذكاء الاصطناعي المتطورة. واضافوا ان الشركات المطورة مطالبة بتحديث بروتوكولات الحماية للحد من استغلال هذه التقنيات في انشطة غير قانونية.
