فوضى أمن الذكاء الاصطناعي تكشف ثغرات غير متوقعة

وسط السباق المحموم نحو تبني تقنيات الذكاء الاصطناعي، يبدو أن حتى عمالقة التكنولوجيا لم يحسموا بعد معركة الأمن السيبراني المرتبطة بهذه التقنيات.

هذا ما كشفه فرانسيس دي سوزا، الرئيس التنفيذي للعمليات في "غوغل كلاود"، خلال حديثه في فعالية بمدينة لوس أنجلوس، حيث أقرّ بأن الجميع ما زالوا يتعاملون مع المرحلة الانتقالية الخاصة بأمن الذكاء الاصطناعي.

دي سوزا، الذي تحدث بهدوء أقرب إلى أسلوب أساتذة الجامعات، شدد على أن الأمن لم يعد خيارًا يمكن إضافته لاحقًا، بل يجب أن يكون جزءًا أساسيًا من أي استراتيجية تعتمد على الذكاء الاصطناعي منذ البداية، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".

وقال إن الشركات مطالبة بتبني نهج المنصات عند إدخال تقنيات الذكاء الاصطناعي، محذرًا من ظاهرة الذكاء الاصطناعي الخفي، في إشارة إلى استخدام الموظفين لأدوات استهلاكية خارج رقابة المؤسسات.

وأضاف: "لا وجود لاستراتيجية ذكاء اصطناعي من دون استراتيجية بيانات وأمن، فالثلاثة يجب أن يسيروا معًا".

ورغم عمله في "غوغل"، أوضح دي سوزا أن حديثه لا يقتصر على الترويج لخدمات الشركة، مؤكدًا أن معظم المؤسسات تعمل فعليًا ضمن بيئات متعددة السحابات حتى لو اعتقدت أنها تعتمد على مزود واحد فقط.

وأشار إلى أن التطبيقات السحابية والشركاء الخارجيين يفرضون واقعًا متعدد البيئات، ما يجعل توحيد معايير الأمن عبر المنصات أمرًا ضروريًا.

كما حذر من أن مشهد التهديدات تغير جذريًا خلال السنوات الأخيرة، موضحًا أن الزمن الفاصل بين اختراق الأنظمة والانتقال إلى المرحلة التالية من الهجوم تقلص من ثماني ساعات إلى 22 ثانية فقط.

وأضاف أن نطاق الهجمات لم يعد يقتصر على الشبكات التقليدية، بل أصبح يشمل نماذج الذكاء الاصطناعي نفسها، وخطوط تدريب البيانات، والوكلاء الذكيين، وحتى الأوامر النصية المستخدمة لتشغيل الأنظمة.

ومن أخطر النقاط التي لفت إليها دي سوزا، قدرة الوكلاء الذكيين على اكتشاف مخازن بيانات قديمة ومنسية داخل الشركات.

وأوضح أن العديد من المؤسسات لا تزال تحتفظ بخوادم قديمة أو إعدادات وصول لم تُحدّث منذ سنوات، لكنها كانت بعيدة عن الأنظار.

أما اليوم، فبإمكان أنظمة الذكاء الاصطناعي التجول داخل البنية التحتية والوصول إلى تلك البيانات بسهولة.

ويرى دي سوزا أن مواجهة هذه التهديدات تتطلب الاعتماد على دفاعات ذاتية مدعومة بالذكاء الاصطناعي، بحيث تتولى الأنظمة الذكية نفسها مهمة حماية المؤسسات بسرعة الآلات، مع إشراف بشري عام بدلًا من التدخل المباشر في كل خطوة.

لكن المشكلة، بحسب خبراء الأمن، لا تتعلق فقط بسرعة الهجمات، بل أيضًا بنقص الكفاءات القادرة على مراقبة هذه الأنظمة.

فقد حذرت ليا كيسنر، مسؤولة أمن المعلومات في "لينكدإن" من أن القطاع مقبل على ما وصفته بكارثة الثغرات، مؤكدة أن الصناعة قد تحتاج سنوات طويلة قبل الوصول إلى فهم مستقر لأمن الذكاء الاصطناعي.

وفي الوقت نفسه، تواجه "غوغل" نفسها انتقادات متزايدة بسبب مشكلات أمنية مرتبطة بخدمات الذكاء الاصطناعي الخاصة بها.

فقد نشر موقع "The Register" تقارير كشفت تعرض مطوري "غوغل كلاود" لفواتير ضخمة وصلت إلى عشرات الآلاف من الدولارات بعد استغلال مفاتيح API مرتبطة بخدمة جيميناي دون علمهم.

وبحسب التقارير، فإن بعض مفاتيح API التي كانت مخصصة لخدمة "خرائط غوغل" أصبحت قادرة لاحقًا على الوصول إلى جيميناي بعد توسيع صلاحياتها دون توضيح كافٍ للمطورين.

أحد الضحايا، وهو رود دانان الرئيس التنفيذي لمنصة Prentus، قال إن فاتورته بلغت أكثر من 10 آلاف دولار خلال نصف ساعة فقط بعد استغلال مفتاحه المخترق.

كما كشف مطور أسترالي آخر عن تلقيه رسومًا قاربت 17 ألف دولار أسترالي رغم اعتقاده بوجود حد إنفاق لا يتجاوز 250 دولارًا.

وأعادت "غوغل" الأموال بعد انتشار القضية إعلاميًا، لكنها أوضحت أنها لا تنوي تغيير سياسة الترقية التلقائية لحدود الفوترة، معتبرة أن تجنب انقطاع الخدمات أولوية أعلى من الالتزام بسقوف الإنفاق التي يحددها المستخدمون.

ولم تتوقف المخاوف عند هذا الحد، إذ أظهرت دراسة أجرتها شركة الأمن السيبراني Aikido أن حذف مفاتيح API المخترقة لا يؤدي إلى إيقافها فورًا، حيث يمكن للمهاجمين الاستمرار في استخدامها لمدة تصل إلى 23 دقيقة بسبب بطء انتشار عملية الإلغاء عبر بنية "غوغل" التحتية.

وأشار الباحث جوزيف ليون إلى أن بعض أنظمة الاعتماد الأحدث لدى غوغل لا تعاني من المشكلة نفسها، ما يعني أن الحل التقني موجود بالفعل، لكن تطبيقه على نطاق أوسع لا يزال مسألة أولويات داخل الشركة.

وفي النهاية، تكشف هذه الوقائع فجوة واضحة بين النصائح الأمنية التي تقدمها شركات المنصات الكبرى وبين سرعة استجابتها لمعالجة الثغرات داخل أنظمتها الخاصة، وهو ما يعكس حقيقة أساسية: حتى أكبر شركات التكنولوجيا ما زالت تتعلم كيفية التعامل مع تحديات أمن الذكاء الاصطناعي.