بسم الله الرحمن الرحيم
كيفية تمكن المخترقين من التلاعب بذكاء جوجل الاصطناعي
ما يحدث حاليًا
كيف يمكننا الدفاع عن أنفسنا
شهدنا مؤخرًا تطورًا مثيرًا ومقلقًا في مجال الأمن السيبراني طرق جديدة يستخدمها المخترقون لاستغلال أنظمة الذكاء الاصطناعي، وخاصة الذكاء الاصطناعي من جوجل مثل Gemini. هذه الطرق تتميز بالتصاعد في التعقيد والتهديد، حيث تتحول أدوات الذكاء الاصطناعي إلى سلاح ضد نفسها وضد المستخدمين.
أبرز أساليب الهجوم الحديثة
1.الحقن غير المباشر للمطالبات (Indirect Prompt Injection)
هي تقنية حديثة حيث يُخفي المخترقون تعليمات ضارة داخل محتوى يبدو عاديًا مثل رسائل البريد الإلكتروني أو المستندات أو دعوات التقويم (Google Calendar). عندما يعالج الذكاء الاصطناعي هذا المحتوى، ينفذ التعليمات دون أن يدرك المستخدم أو النظام وجودها
مثال حي مستخدم طلب رقم دعم من خلال بحث جوجل، فوفّرت له نظرة عامة (Overview) مولدة بالذكاء الاصطناعي رقمًا مزيفًا لخدمة زائفة، أدت إلى خسارته مبلغ 768 دولارًا
2. استغلال دعوات التقويم المخربة
عرضت مجموعة من الباحثين في مؤتمر Black Hat في لاس فيغاس نموذجًا للهجوم يُسمى “Invitation Is All You Need”، حيث خُبأ تعليمات داخل دعوة تقويم، وعندما طلب المستخدم ملخص أحداث الأسبوع من Gemini، نفّذ الأخير الأوامر تشغيل السخان، فتح الستائر، تشغيل مكالمات Zoom، وحتى إرسال رسائل غير لائقة
3. تلخيص البريد الإلكتروني وتحقيقات فيروسات Phishing مخفية
وجد باحثان من Mozilla/0Din ومنصة Fox News أن Gemini يمكن خداعه عبر ملخصات البريد الإلكتروني، إذ يتم تضمين محتوى مخفي (بنفس لون الخلفية وحجمه صفر) داخل البريد. عندما يُطلب الملخص، تظهر التعليمات المخفية مثل تحذير زائف بانتهاك كلمة المرور ورقم دعم للاتصال لاحقًا
4. نمط الهجوم الجديد “PromptFix” في متصفحات الذكاء الاصطناعي
تقنية موجودة في متصفح Comet AI (ومتوفّق عليها أيضًا في وضع Agent بـ ChatGPT). يتم تضمين تعليمات خادعة ضمن عناصر صفحة ويب مثل CAPTCHA زائفة، فيقوم الذكاء الاصطناعي بدون إشراف بشري بإضافة منتجات إلى عربة التسوق، تعبئة بيانات الدفع، أو تعدين معلومات حساسة .
5. استخدام الذكاء الاصطناعي من قبل جهات خبيثة
وفقًا لتقارير Google Threat Intelligence، هناك مجموعات مرتبطة بدول مثل إيران وروسيا والصين، تستغل Gemini في كتابة أكواد ضارة، ترجمة وتسهيل عمليات اختراق، وصنع محتوى وهمي بأسلوب مقنع (مثل WormGPT وFraudGPT) (Google Cloud). كما تستغل جماعات فيروسات الذكاء الاصطناعي لتعزيز هجمات الابتزاز الإلكتروني، ورسائل BEC (اختراق البريد الإلكتروني للأعمال).
ماذا تفعل جوجل الآن؟
تعزيز أمان النماذج الذكية (مثل Gemini 2.5)
تعمل الشركة على تقوية النموذج ضد التلاعب، باستخدام تقنيات جديدة لاكتشاف التعليمات الضارة وفرض إطار حماية كامل .
استخدام الذكاء الاصطناعي للدفاع
في مبادرة "Fighting Scams in Search"، نجح الذكاء الاصطناعي في Google في اكتشاف 20 ضعف عدد صفحات الاحتيال مقارنة بالسابق وتقليل عدد الأرقام الخادعة بنسبة أكثر من 80%.
أيضًا، على Chrome، تُستخدم Gemini Nano على الجهاز لتعزيز الحماية من التصيد الاحتيالي، بالإضافة إلى إنذارات AI ذكية ضد الإشعارات المضللة على Android.
استخدام أدوات خاصة بكشف الثغرات (مثل Big Sleep)
أداة Big Sleep التي طورتها جوجل "توقعت" وجود ثغرة برمجية (CVE20256965) قبل أن يستغلها المخترقون، مما يُعد أول مثال لاستخدام الذكاء الاصطناعي لمنع استغلال الثغرات في البرمجيات مفتوحة المصدر (The Record from Recorded Future16).
كيف يمكننا حماية أنفسنا؟
| التدابير الوقائية | الخطوات الواجب اتباعها |
| | |
| الشك في المعلومات المرسلة تلقائيًا | لا تثق برقم دعم أو تحذير من AI دون التحقق المستقل من موقع رسمي. |
| تحديث البرامج باستمرار | خصوصًا Google Chrome و Gemini وWorkspace. |
| حل CAPTCHAs يدويًا عند الشك | لتفادي خداع "PromptFix" في متصفحات AI. |
| تعطيل ميزات الأتمتة غير الموثوق بها | مثل تفويض الذكاء الاصطناعي تسهيلات تلقائية بدون إشرافك المباشر. |
| التحقق من محتوى البريد الإلكتروني المشبوه | خاصًة الملخصات المولّدة بواسطة AI. |
| استخدام وضع Enhanced Protection | في Chrome للحصول على حماية إضافية ضد التصيد والبرمجيات الخبيثة. |
| استخدام أدوات كشف التهديدات في المؤسسات | مثل فحص البريد الإلكتروني وملفات النظام ضد تلاعب prompt أو أنشطة مشبوهة. |
إن الذكاء الاصطناعي يمثل تقدمًا هائلًا في التكنولوجيا، لكنه كما رأينا يمكن أن يصبح أداة مأساوية في يد المخترقين. التحدي الحالي يكمن في أنه "AI ضد AI"؛ حيث يُخدع الذكاء الاصطناعي ليخدع المستخدمين.
المشاركات
ليست هناك تعليقات:
إرسال تعليق
(( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ))