ثغرة في برنامج Microsoft Copilot: تحذير جديد بشأن خطر تسرب بيانات الذكاء الاصطناعي

مع تزايد استخدام الذكاء الاصطناعي في كل شيء، من كتابة التقارير، والرد على رسائل البريد الإلكتروني، إلى تحليل البيانات، يبدو أننا نعيش في عصرٍ من الراحة غير المسبوقة. لكن الجانب السلبي لهذه الراحة بدأ يتضح أيضًا، لا سيما فيما يتعلق بالأمن.

تركت ثغرة أمنية حديثة أطلق عليها اسم EchoLeak مستخدمي خدمة Microsoft Copilot معرضين لخطر تسريب بياناتهم الحساسة دون اتخاذ أي إجراء.

عندما يصبح الذكاء الاصطناعي ثغرة أمنية

وفقًا لبحث Tuoi Tre Online ، فإن EchoLeak عبارة عن ثغرة أمنية تم تسجيلها حديثًا بالرمز CVE-2025-32711، والتي صنفها الخبراء على أنها خطيرة بمعدل 9.3/10 وفقًا لمقياس NIST.

ما يقلق خبراء الأمن هو أن هذا البرنامج يعتمد على مبدأ "النقر صفر" : حيث يمكن للمهاجمين استغلال البيانات من Copilot دون أن يضطر المستخدم إلى النقر أو فتح ملف أو حتى معرفة أي شيء يحدث.

هذا ليس خطأً بسيطًا. يعتقد فريق البحث في مختبرات Aim، الذي اكتشف الخلل، أن EchoLeak يعكس عيبًا تصميميًا شائعًا في أنظمة الذكاء الاصطناعي القائمة على الوكلاء وRAG. ولأن Copilot جزء من مجموعة تطبيقات Microsoft 365 التي تحتفظ برسائل البريد الإلكتروني والمستندات وجداول البيانات وجداول اجتماعات ملايين المستخدمين، فإن احتمالية تسرب البيانات خطيرة للغاية.

لا تكمن المشكلة في الكود المُحدد فحسب، بل في طريقة عمل نماذج اللغات الكبيرة (LLMs). تحتاج أنظمة الذكاء الاصطناعي إلى سياق واسع للاستجابة بدقة، ولذلك تُمنح حق الوصول إلى الكثير من البيانات الأساسية. فبدون ضوابط واضحة على المدخلات والمخرجات، قد تُدار أنظمة الذكاء الاصطناعي بطرق لا يدركها المستخدمون. وهذا يُنشئ نوعًا جديدًا من "الثغرات" لا يعود إلى خلل في الكود، بل لأن أنظمة الذكاء الاصطناعي تتصرف خارج نطاق الفهم البشري.

أصدرت مايكروسوفت تصحيحًا سريعًا، ولم تُبلغ عن أي أضرار فعلية حتى الآن. لكن الدرس المستفاد من ثغرة إيكو ليك واضح: عندما يُدمج الذكاء الاصطناعي بعمق في أنظمة العمل، فإن أي خطأ بسيط في فهمه للسياق قد يُسبب عواقب أمنية جسيمة.

كلما أصبح الذكاء الاصطناعي أكثر ملاءمة، أصبحت البيانات الشخصية أكثر هشاشة

تُثير حادثة إيكو ليك سؤالاً مُقلقاً: هل يثق الناس بالذكاء الاصطناعي لدرجة أنهم لا يُدركون إمكانية تتبُّعهم أو كشف معلوماتهم الشخصية بمجرد رسالة نصية؟ ثغرة أمنية مُكتَشَفة حديثاً تُمَكِّن المُخترقين من استخراج البيانات بصمت دون الحاجة إلى ضغط أي زر من المستخدمين، وهي أمرٌ كان يُرى سابقاً في أفلام الخيال العلمي فقط، ولكنه أصبح الآن واقعاً ملموساً.

في حين أصبحت تطبيقات الذكاء الاصطناعي تحظى بشعبية متزايدة، من المساعدين الافتراضيين مثل Copilot، والروبوتات الدردشة في الخدمات المصرفية والتعليم ، إلى منصات الذكاء الاصطناعي التي تكتب المحتوى وتعالج رسائل البريد الإلكتروني، فإن معظم الأشخاص لا يتم تحذيرهم بشأن كيفية معالجة بياناتهم وتخزينها.

لم يعد "الدردشة" مع نظام الذكاء الاصطناعي مجرد طرح بعض الأسئلة للراحة، بل قد تكشف أيضًا عن موقعك أو عاداتك أو مشاعرك أو حتى معلومات حسابك عن غير قصد.

في فيتنام، يعتاد الكثيرون على استخدام الذكاء الاصطناعي على الهواتف والحواسيب دون معرفة أساسية بالأمن الرقمي . يشارك الكثيرون معلوماتهم الشخصية مع الذكاء الاصطناعي ظنًا منهم أنه "مجرد آلة". لكن في الواقع، يكمن وراءه نظام قادر على تسجيل البيانات وتعلمها ونقلها إلى جهات أخرى، خاصةً عندما تكون منصة الذكاء الاصطناعي تابعة لجهة خارجية ولم تخضع لاختبارات أمنية دقيقة.

وللحد من المخاطر، لا يتعين على المستخدمين بالضرورة التخلي عن التكنولوجيا، ولكنهم بحاجة إلى أن يكونوا أكثر وعياً: يجب عليهم التحقق بعناية مما إذا كان تطبيق الذكاء الاصطناعي الذي يستخدمونه يحتوي على مصدر موثوق، وما إذا كانت البيانات مشفرة، وخاصة عدم مشاركة المعلومات الحساسة مثل أرقام الهوية والحسابات المصرفية والمعلومات الصحية... مع أي نظام ذكاء اصطناعي دون تحذير واضح.

تمامًا كما حدث عندما وُلد الإنترنت لأول مرة، تحتاج الذكاء الاصطناعي أيضًا إلى الوقت حتى تكتمل، وخلال ذلك الوقت، يجب أن يكون المستخدمون أول من يحمون أنفسهم بشكل استباقي.