تسمح ثغرة "Zero Click" للمتسللين بالتحكم في ChatGPT للتصرف كما يحلو لهم - صورة توضيحية: AFP
كشفت شركة الأمن السيبراني الإسرائيلية Zenity للتو عن أول ثغرة "Zero Click" التي تم اكتشافها في خدمة ChatGPT من OpenAI.
لا يتطلب هذا النوع من الهجوم من المستخدمين القيام بأي إجراء مثل النقر فوق رابط أو فتح ملف أو الانخراط في أي تفاعل مقصود، ولكن لا يزال بإمكانه الوصول إلى الحسابات وتسريب البيانات الحساسة.
أظهر ميخائيل بيرجوري، المؤسس المشارك والمدير التقني لشركة Zenity، بنفسه كيف يمكن لمخترق، باستخدام عنوان البريد الإلكتروني للمستخدم فقط، أن يتولى السيطرة الكاملة على المحادثات - بما في ذلك المحتوى الماضي والمستقبلي، وتغيير غرض المحادثة، وحتى التلاعب بـ ChatGPT ليعمل لصالح المخترق.
في عرضهم التقديمي، أظهر الباحثون أن برنامج ChatGPT المُخترق يُمكن أن يتحول إلى "جهة خبيثة" تعمل سرًا ضد المستخدمين. يُمكن للمُخترقين جعل ChatGPT يقترح على المستخدمين تنزيل برامج مُصابة بالفيروسات، أو تقديم نصائح تجارية مُضللة، أو الوصول إلى الملفات المُخزنة على Google Drive إذا كان حساب المستخدم مُتصلًا. كل هذا يحدث دون علم المستخدم.
لم يتم إصلاح الثغرة الأمنية بشكل كامل إلا بعد أن أبلغت Zenity شركة OpenAI.
بالإضافة إلى ChatGPT، استعرضت Zenity أيضًا هجمات مماثلة ضد منصات مساعدة ذكاء اصطناعي شائعة أخرى. في Copilot Studio من Microsoft، اكتشف الباحثون طريقة لتسريب قواعد بيانات CRM كاملة.
بالنسبة لشركة Salesforce Einstein، يمكن للمتسللين إنشاء طلبات خدمة مزيفة لإعادة توجيه جميع اتصالات العملاء إلى عناوين البريد الإلكتروني الخاضعة لسيطرتهم.
كما تم تحويل Google Gemini وMicrosoft 365 Copilot إلى "جهات فاعلة معادية"، حيث نفذوا هجمات التصيد الاحتيالي وتسريب المعلومات الحساسة من خلال رسائل البريد الإلكتروني وأحداث التقويم.
في مثال آخر، تم استغلال أداة تطوير البرامج Cursor عند دمجها مع Jira MCP أيضًا لسرقة بيانات اعتماد المطور من خلال "تذاكر" مزيفة.
ذكرت زينيتي أن بعض الشركات، مثل OpenAI ومايكروسوفت، سارعت إلى إصدار تصحيحات بعد تنبيهها. في المقابل، رفضت شركات أخرى معالجة المشكلة، مُدّعيةً أن هذا السلوك "ميزة تصميمية" وليس ثغرة أمنية.
التحدي الأكبر الآن، وفقًا لميخائيل بيرغوري، هو أن مساعدي الذكاء الاصطناعي لا يقومون بمهام بسيطة فحسب، بل يتحولون إلى "كيانات رقمية" تمثل المستخدمين، قادرة على فتح المجلدات وإرسال الملفات والوصول إلى رسائل البريد الإلكتروني. وحذّر من أن هذا يُمثل "جنة" للمخترقين، مع وجود العديد من نقاط الاستغلال.
أكد بن كاليجر، المؤسس المشارك والرئيس التنفيذي لشركة زينيتي، أن أبحاث الشركة تُظهر أن أساليب الأمان الحالية لم تعد مناسبة لطريقة عمل مساعدي الذكاء الاصطناعي. ودعا المؤسسات إلى تغيير نهجها والاستثمار في حلول متخصصة للتحكم في أنشطة هؤلاء "الوكلاء" ومراقبتها.
تأسست شركة زينيتي عام ٢٠٢١. ويعمل بها حاليًا حوالي ١١٠ موظفين حول العالم، يعمل ٧٠ منهم في مكتبها بتل أبيب. ومن بين عملاء زينيتي العديد من الشركات المدرجة ضمن قائمة فورتشن ١٠٠ وحتى قائمة فورتشن ٥.
المصدر: https://tuoitre.vn/lo-hong-nghiem-trong-tren-chatgpt-va-loat-tro-ly-ai-nguoi-dung-bi-lua-dao-lo-thong-tin-20250811131018876.htm
![[صورة] الأمين العام تو لام يحضر الذكرى الثمانين لليوم التقليدي للقطاع الثقافي](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/8/23/7a88e6b58502490aa153adf8f0eec2b2)
![[صورة] رئيس الوزراء فام مينه تشينه يرأس اجتماع اللجنة الدائمة للجنة الحزب الحكومية](https://vstatic.vietnam.vn/vietnam/resource/IMAGE/2025/8/23/8e94aa3d26424d1ab1528c3e4bbacc45)
تعليق (0)