أطلقت شركة الذكاء الاصطناعي «أوبن أيه آي»، قبل أيام، متصفحها الخاص أطلس، الذي بدا منافساً قوياً هدد بإنهاء هيمنة متصفح جوجل كروم، لكن وسط الإشادات، بدأ الكشف عن ثغرات أمنية قد تؤثر في سلامة بيانات المستخدمين.
وكشفت شركة «نيورال تراست» عن ثغرة أمنية في متصفح أطلس، حيث تمكن المهاجمين من تنفيذ أوامر خفية عبر روابط تبدو عادية.
وأوضحت الشركة أن شريط العنوان الموحد يفسّر النص المدخل، إما كعنوان URL أو كأمر لغوي موجه للوكيل الذكي، مضيفة أن الثغرة تسمح بتمويه تعليمات ضارة داخل نص يبدو كعنوان موقع موثوق، بحسب TheHackerNews.
طريقة الهجوم عبر متصفح أطلس.. عنوان يشبه الرابط
اعتمد الهجوم على إنشاء رابط مزيف يبدأ بـ«https» متبوعاً بنص يشبه اسم نطاق، وعند لصق هذا العنوان في شريط المتصفح، يعجز النظام عن التحقق من صلاحيته، فيتعامل معه كأمر مباشر للذكاء الاصطناعي، فينفذ التعليمات المضمنة داخله بدل زيارة الموقع الأصلي.
استغلال محتمل في حملات تصيد
أشارت شركة نيورا تراست إلى قدرة المهاجمين على استخدام هذه التقنية لوضع الروابط المزيفة خلف أزرار مثل «نسخ الرابط»، ما يوجه المستخدمين إلى صفحات تصيد أو مواقع تحت تحكمهم، محذرة من أن الهجوم قد يشمل أوامر لحذف ملفات من تطبيقات متصلة مثل جوجل درايف.
وقال مارتي جوردا الباحث في الأمن السيبراني: «بما أن المتصفح يتعامل مع أوامر المستخدم كمدخلات موثوقة، فإنها تخضع لتدقيق أمني أقل مقارنة بالمحتوى القادم من المواقع، ما يسمح بتنفيذ أوامر أو زيارة مواقع مختارة من المهاجمين دون علم المستخدم».
وفي تطور آخر، كشفت شركة «سكوير إكس لابس» عن طريقة تُعرف باسم AI Sidebar Spoofing تسمح بإنشاء شريط جانبي مزيف داخل واجهة المتصفح عبر إضافة خبيثة، تستخدم JavaScript لتغطية الشريط الحقيقي بآخر مزور، يخدع المستخدم لإدخال أوامر يتم استغلالها لاحقاً لسرقة البيانات أو تثبيت برمجيات تجسس.
أوبن أيه آي: المشكلة لم يتم حلها بعد
اعترف دان ستاكي، مدير أمن المعلومات في أوبن أيه آي، أن حقن الأوامر يمثل خطراً ناشئاً يجري التعامل معه بجدية.
وأضاف: «الهجمات قد تهدف إلى التأثير على سلوك المتصفح أثناء التسوق أو سرقة بيانات حساسة من البريد الإلكتروني».
وأشار ستاكي إلى أن أوبن أيه آي قد أجرت اختبارات أمنية مكثفة ودربت النماذج على تجاهل التعليمات الخبيثة، لكنها تعتبر هذه الهجمات مشكلة أمنية على الخط الأمامي لم تُحل بعد.
0 تعليق