في تحذيرٍ مُثير للقلق، كشف باحث الأمن السيبراني مايكل بارغوري خلال مؤتمر Black Hat USA كيف يُمكن استغلال تقنية الذكاء الاصطناعي copilot من مايكروسوفت لأغراضٍ ضارّة. أداة lolcopilot التي ابتكرها تُظهر إمكانية استغلال الذكاء الاصطناعي لشنّ هجمات تصيّد احتيالي آلية وسرقة البيانات الحساسة.
يُثبت هذا الاكتشاف القاعدة القديمة القائلة بأنّ الإنسان عدوّ نفسه، ويبدو أنّ هذه المقولة تنطبق على الذكاء الاصطناعي الذي أنشأناه لتعزيز إنتاجيتنا، والذي قد ينقلب علينا. هذا هو الاستنتاج المُقلق الذي توصّل إليه مايكل بارغوري في مؤتمر Black Hat، حيث أظهرت دراسته الثغرات الأمنية في Copilot، مُساعد الذكاء الاصطناعي المُدمج في تطبيقات microsoft 365.
لقد نجح بارغوري في تحويل هذه الأداة إلى سلاحٍ حقيقي للقراصنة. فمن خلال التلاعب بالطلبات المُرسلة إلى الذكاء الاصطناعي، تمكّن من تجاوز إجراءات الحماية والوصول إلى بياناتٍ سرية. ولزيادة الطين بلّة، أوضح بارغوري كيفية استخدام الأداة لإرسال رسائل بريد إلكتروني للتصيّد الاحتيالي مُستهدفة بشكلٍ دقيق، الأمر الذي أثار قلق فرق الأمن السيبراني في جميع أنحاء العالم.
هل سيُصبح Copilot الأداة المُفضّلة للقراصنة؟
تُجسّد أداة LOLCopilot التي أنشأها بارغوري المخاطر بشكلٍ واضح. فبمجرد الوصول إلى حساب الضحية، يُمكن للأداة تحليل عادات الاتصال الخاصة بالمستخدم من خلال Copilot، ثُمّ إنشاء رسائل بريد إلكتروني مُخصّصة تُحاكي أسلوبه، بما في ذلك استخدام الرموز التعبيرية. يُمكن أن تحتوي هذه الرسائل على روابط ضارّة أو مرفقات مُصابة.
تُضاعف الأتمتة التي يُتيحها الذكاء الاصطناعي من فعالية الهجمات. فبينما يقضي القرصان ساعات في إعداد رسالة بريد إلكتروني للتصيّد الاحتيالي، يُمكن لـ LOLCopilot إنشاء المئات منها في دقائق معدودة. كما أن التخصيص المُتقدم يزيد بشكلٍ كبير من فرص وقوع الضحية في الفخ.
تُتيح تقنياتٌ أخرى استخراج معلوماتٍ حساسة دون ترك أيّ أثر، أو التلاعب بردود Copilot لتقديم معلوماتٍ مصرفية خاطئة. وبالتالي، يُصبح الذكاء الاصطناعي سلاحًا فتّاكًا في يد المُهاجم.
كيف تحمي نفسك من هذا التهديد الجديد؟
أشادت مايكروسوفت بعمل مايكل بارغوري، وأكّدت أنها تُدرك هذه المخاطر وتأخذها على محمل الجد. وأشارت الشركة إلى أنها طبّقت العديد من آليات الأمان في Copilot. ومع ذلك، وكما هو الحال في كثيرٍ من الأحيان، يُحاول القراصنة باستمرار التغلّب على الباحثين الأمنيين.
إلى حين إصدار مايكروسوفت لتحديثاتٍ أمنية، يُنصح بتوخّي الحذر الشديد عند استخدام الإنترنت. تذكّر أنّ بياناتك الشخصية ملكٌ لك وحدك، ولا تُشارِكها، كليًا أو جزئيًا، إلا إذا كانت طلبات الإذن مُرسلة من تطبيقٍ أو خدمةٍ تستخدمها بشكلٍ مُنتظم.
إذا تلقّيت رسالة بريد إلكتروني تطلب منك تقديم معلوماتٍ شخصية، فتأكّد أولًا من أنّ أيّ جهة رسمية لن تطلب منك ذلك عبر البريد الإلكتروني. ثانيًا، تحقّق من عنوان المُرسل بعناية، وإذا كان لديك أيّ شك، فتواصل مع الجهة الرسمية عبر قنوات الاتصال المُعتمدة للتأكّد من صحة الرسالة.
إذا كنت تعتقد أنّك تعرّضت لهجوم تصيّد احتيالي، فتواصل مع الجهة التي تمّ انتحال شخصيتها، بالإضافة إلى البنك الذي تتعامل معه، لإيقاف أيّة مُعاملة احتيالية، وبلّغ السلطات المُختصّة بالحادثة.
