منح الذكاء الاصطناعي ملايين المستخدمين القدرة على بناء التطبيقات التي يحتاجونها وتسهل حياتهم دون أي خبرة تقنية في موجة تعرف باسم "فايب كودينغ" (Vibe Coding)، ولكن هذه السهولة تركت المستخدمين وتطبيقاتهم عرضة للهجمات السيبرانية وسرقة البيانات بسهولة لا تقل عن سهولة بنائها.
تخيل أنك بنيت تطبيق أحلامك الخدمي بهذه التقنية، ثم أطلقته للجمهور ليشترك فيه، أو منحت أصدقاءك وأقاربك وصولا مجانيا إليه لأنه يساعدهم. لاحقا، يُفاجأ هؤلاء بأن بياناتهم الخاصة التي وثقوا بتطبيقك للاحتفاظ بها سُرقت وباتت متاحة على شبكات الإنترنت المظلم.
ورغم أن هذا السيناريو يبدو مستبعدا بالنسبة لبعض المستخدمين، إلا أن تقرير مجلة "بي سي ماغازين" (PC Magazine) يكشف عن واقع مرير، وذلك لأن هناك أكثر من 5 آلاف تطبيق مصنوع باستخدام تقنيات "فايب كودينغ" لا يملك أي نوع من أنواع الحماية أو المصادقة التي تحمي بيانات المستخدمين.
وتزعم الدراسة التي أجرتها شركة "ريد أكسيس" (Red Access) الأمنية أن أي شخص يملك الرابط الصحيح قادر على الوصول إلى التطبيقات والبيانات المخزنة بها والعبث بها كما يرغب.
ويعكس تقرير موقع "ذا فيرج" (The Verge) التقني الأمريكي المنشور في نهاية يونيو/حزيران الفكرة ذاتها، إذ يذكر أمثلة عدة لتطبيقات صنعها أشخاص مرتبطون بالمجال التقني بشكل ما، ولكنهم أهملوا الجوانب الأمنية مما جعل تطبيقاتهم عرضة لهجمات سيبرانية عدة.
لذلك وقبل أن تنشر تطبيقك القادم المصنوع باستخدام أدوات البرمجة بالذكاء الاصطناعي، يجب عليك أن تتحقق من عدة عوامل مختلفة وتراعي جوانب قد لا تخطر على بالك للوهلة الأولى.
متى يتحول مشروعك الشخصي إلى مسؤولية؟
يرى غابرييل برناديت عالم أبحاث متميز في مجال الذكاء الاصطناعي في شركة "سينتينال ون" (SentinelOne) المتخصصة في الأمن السيبراني المدعوم بالذكاء الاصطناعي أن استخدام الهواة وغير التقنيين لتقنيات "فايب كودينغ" لصناعة برامجهم الشخصية أمر جيد، ولكن الأزمة تبدأ عندما يتحول هذا التطبيق المصنوع من قبل الهواة إلى منتج يباع للمستخدمين ويتعامل مع بياناتهم المختلفة، وفق تصريحاته لموقع "ذا فيرج".
تطبيقا لمتابعة الوجبات أو الطلبيات إلى تطبيق يتعامل مع بيانات المستخدمين والبيانات الطبية والمالية لمستخدمين آخرين.
الهواة يتركون تطبيقاتهم المصنوعة بالذكاء الاصطناعي عرضة للهجمات (شترستوك)
ويفيد تقرير "ذا فيرج" بضرورة وجود معايير مختلفة للتطبيقات التي تتعامل مع بيانات المستخدمين حتى وإن كانت مبنية من قبل شخص واحد فقط.
ويتفق جاك كيبل، الرئيس التنفيذي والمؤسس المشارك لشركة كوريدور (Corridor) التي تعد منصة أمن مصممة لتطوير البرمجيات الأصلية للذكاء الاصطناعي، مع وجهة نظر برناديت، إذ يرى بأن تقنية فايب كودينغ مثالية عند العمل على المشاريع ذات الخطورة المنخفضة مثل تطبيقات تتبع الرياضة والوجبات، ولكن يختلف الأمر عندما يتعلق بتطبيق يتعامل مع البيانات المالية لمستخدمين غير صانعه.
وتشمل هذه الثغرات:
وتشمل هذه البيانات، وفق دراسة "ريد أكسيس"، مهام العمل في المستشفيات التي تحتوي على معلومات تعريفية شخصية للأطباء والمرضى، وعرض إستراتيجية تسويق لشركة ما وسجلات المبيعات والبيانات المالية لمجموعة متنوعة من الشركات.
40% من التطبيقات المبنية بتقنيات البرمجة عبر الذكاء الاصطناعي تكشف بيانات المستخدمين الحساسة، وفق إحدى الدراسات (غيتي)
ويعدد تقرير "ذا فيرج" حالات واقعية لمستخدمين طوروا تطبيقاتهم الخاصة باستخدام منصات الذكاء الاصطناعي ووجدوا فيها ثغرات أمنية خطيرة عرضتهم للاختراق، ومن بينهم بوب ستار الذي صنع تطبيقا يدعى بومبيرغ (Bomberg) يتتبع إنفاق حكومة الولايات المتحدة على الشركات التقنية، وقبل أن يطلقه اكتشف ثغرة خطيرة فيه.
وكذلك الأمر مع جير كرين، مؤسس شركة بوكيت أوإس (Pocket OS)، الذي نشر عبر منصة أكس أن أحد وكلاء البرمجة بالذكاء الاصطناعي محا قاعدة بيانات الإنتاج الخاصة بشركته بالكامل.
تخيل أنك بنيت تطبيق أحلامك الخدمي بهذه التقنية، ثم أطلقته للجمهور ليشترك فيه، أو منحت أصدقاءك وأقاربك وصولا مجانيا إليه لأنه يساعدهم. لاحقا، يُفاجأ هؤلاء بأن بياناتهم الخاصة التي وثقوا بتطبيقك للاحتفاظ بها سُرقت وباتت متاحة على شبكات الإنترنت المظلم.
ورغم أن هذا السيناريو يبدو مستبعدا بالنسبة لبعض المستخدمين، إلا أن تقرير مجلة "بي سي ماغازين" (PC Magazine) يكشف عن واقع مرير، وذلك لأن هناك أكثر من 5 آلاف تطبيق مصنوع باستخدام تقنيات "فايب كودينغ" لا يملك أي نوع من أنواع الحماية أو المصادقة التي تحمي بيانات المستخدمين.
وتزعم الدراسة التي أجرتها شركة "ريد أكسيس" (Red Access) الأمنية أن أي شخص يملك الرابط الصحيح قادر على الوصول إلى التطبيقات والبيانات المخزنة بها والعبث بها كما يرغب.
ويعكس تقرير موقع "ذا فيرج" (The Verge) التقني الأمريكي المنشور في نهاية يونيو/حزيران الفكرة ذاتها، إذ يذكر أمثلة عدة لتطبيقات صنعها أشخاص مرتبطون بالمجال التقني بشكل ما، ولكنهم أهملوا الجوانب الأمنية مما جعل تطبيقاتهم عرضة لهجمات سيبرانية عدة.
لذلك وقبل أن تنشر تطبيقك القادم المصنوع باستخدام أدوات البرمجة بالذكاء الاصطناعي، يجب عليك أن تتحقق من عدة عوامل مختلفة وتراعي جوانب قد لا تخطر على بالك للوهلة الأولى.
متى يتحول مشروعك الشخصي إلى مسؤولية؟
يرى غابرييل برناديت عالم أبحاث متميز في مجال الذكاء الاصطناعي في شركة "سينتينال ون" (SentinelOne) المتخصصة في الأمن السيبراني المدعوم بالذكاء الاصطناعي أن استخدام الهواة وغير التقنيين لتقنيات "فايب كودينغ" لصناعة برامجهم الشخصية أمر جيد، ولكن الأزمة تبدأ عندما يتحول هذا التطبيق المصنوع من قبل الهواة إلى منتج يباع للمستخدمين ويتعامل مع بياناتهم المختلفة، وفق تصريحاته لموقع "ذا فيرج".
تطبيقا لمتابعة الوجبات أو الطلبيات إلى تطبيق يتعامل مع بيانات المستخدمين والبيانات الطبية والمالية لمستخدمين آخرين.
ويفيد تقرير "ذا فيرج" بضرورة وجود معايير مختلفة للتطبيقات التي تتعامل مع بيانات المستخدمين حتى وإن كانت مبنية من قبل شخص واحد فقط.
ويتفق جاك كيبل، الرئيس التنفيذي والمؤسس المشارك لشركة كوريدور (Corridor) التي تعد منصة أمن مصممة لتطوير البرمجيات الأصلية للذكاء الاصطناعي، مع وجهة نظر برناديت، إذ يرى بأن تقنية فايب كودينغ مثالية عند العمل على المشاريع ذات الخطورة المنخفضة مثل تطبيقات تتبع الرياضة والوجبات، ولكن يختلف الأمر عندما يتعلق بتطبيق يتعامل مع البيانات المالية لمستخدمين غير صانعه.
افحص هذه الثغرات قبل النشر
ويشير تقرير مستقل من شركة "كاسبرسكي" الأمنية إلى مجموعة من المخاطر الأمنية والثغرات التي قد يستغلها القراصنة في الهجوم على التطبيقات المصنوعة باستخدام الذكاء الاصطناعي.وتشمل هذه الثغرات:
- غياب آلية التحقق من صحة وسلامة المدخلات، وعدم تنظيف مدخلات المستخدمين من الأحرف الزائدة وغيرها من الأخطاء الأساسية التي تؤدي إلى ثغرات أمنية كلاسيكية.
- ترك مفاتيح الواجهة البرمجية وغيرها من الأسرار البرمجية مضمنة في واجهة صفحة الويب بشكل مباشر يمكن لأي قرصان الوصول إليها.
- تنفيذ منطق المصادقة بالكامل على جانب العميل عبر شيفرة تعمل في المتصفح مباشرة، وهو ما يمكن تفاديه بسهولة واختراق الموقع أو التطبيق.
- دمج وظائف قوية وخطيرة للغاية قد لا يحتاجها التطبيق في الأساس، إذ إن نماذج الذكاء الاصطناعي تميل إلى استخدام أقصر الطرق لتنفيذ الشيفرات البرمجية وهي ما تكون في الغالب غير آمنة وفق ما جاء في تقرير "كاسبرسكي".
- استخدام مكتبات برمجية أو تبعية قديمة وغير آمنة.
كشف بيانات حساسة في 40% من التطبيقات.. هل تطبيقك أحدها؟
ويتابع تقرير موقع "بي سي ماغازين" ذكر مخاطر برمجة الذكاء الاصطناعي، حيث تكشف التطبيقات والمواقع المصنوعة باستخدام الذكاء الاصطناعي في 40% من الحالات عن بيانات حساسة لمستخدميها.وتشمل هذه البيانات، وفق دراسة "ريد أكسيس"، مهام العمل في المستشفيات التي تحتوي على معلومات تعريفية شخصية للأطباء والمرضى، وعرض إستراتيجية تسويق لشركة ما وسجلات المبيعات والبيانات المالية لمجموعة متنوعة من الشركات.
ويعدد تقرير "ذا فيرج" حالات واقعية لمستخدمين طوروا تطبيقاتهم الخاصة باستخدام منصات الذكاء الاصطناعي ووجدوا فيها ثغرات أمنية خطيرة عرضتهم للاختراق، ومن بينهم بوب ستار الذي صنع تطبيقا يدعى بومبيرغ (Bomberg) يتتبع إنفاق حكومة الولايات المتحدة على الشركات التقنية، وقبل أن يطلقه اكتشف ثغرة خطيرة فيه.
وكذلك الأمر مع جير كرين، مؤسس شركة بوكيت أوإس (Pocket OS)، الذي نشر عبر منصة أكس أن أحد وكلاء البرمجة بالذكاء الاصطناعي محا قاعدة بيانات الإنتاج الخاصة بشركته بالكامل.
