ثغرة جديدة في شات جي بي تي قد تكشف بيانات المستخدمين وتزيد مخاطر التصيد الإلكتروني
كشف باحثون في الأمن السيبراني عن ثغرة جديدة في “شات جي بي تي” قد تسمح للمهاجمين بتنفيذ هجمات تصيد احتيالي وكشف بعض بيانات المستخدمين، من خلال استغلال آلية تلخيص صفحات الإنترنت وحقن أوامر خبيثة داخل المحتوى الذي يعالجه النموذج.
وبحسب تقارير تقنية، تعتمد الثغرة على استغلال ملفات “مارك داون” (Markdown)، وهي صيغة تستخدم لعرض النصوص والروابط والصور بطريقة منظمة، حيث يمكن للنموذج قراءة هذه الملفات والتفاعل مع محتواها عند تلخيص صفحات الويب.
كيف تعمل الثغرة؟
أوضح الباحثون أن المهاجمين يمكنهم إخفاء أوامر خبيثة داخل صفحات الإنترنت أو ملفات “مارك داون”.. وعند طلب المستخدم من “شات جي بي تي” تلخيص الصفحة، قد يتعامل النموذج مع هذه الأوامر على أنها جزء من المحتوى الطبيعي ويعرضها ضمن النتائج.
وأطلق باحثون في شركة أمنية اسم “تصيد شات جي بي تي” على هذا النوع من الهجمات، مشيرين إلى أن المشكلة تكمن في صعوبة تمييز النموذج بين المحتوى الأصلي والمحتوى الذي تم حقنه بشكل خبيث داخل الصفحة.
بيانات المستخدم في دائرة الخطر
بحسب الباحثين، قد تؤدي هذه الثغرة إلى كشف بعض المعلومات المتعلقة بالمستخدم.. مثل عنوان بروتوكول الإنترنت (IP) ومعلومات تقنية أخرى مرتبطة بالجهاز أو الشبكة المستخدمة.. بالإضافة إلى إمكانية إرسال هذه البيانات إلى المهاجمين بصورة غير مرئية للمستخدم.
كما يمكن أن تتضمن الهجمات روابط مزيفة أو أكواد استجابة سريعة (QR Code) خبيثة.. ما يدفع المستخدم إلى التفاعل معها دون إدراك المخاطر المحتملة.
مخاطر إضافية على الهواتف والأجهزة
يحذر الخبراء من أن الخطر لا يقتصر على تسريب البيانات فقط، بل يمتد إلى إمكانية توجيه المستخدمين نحو روابط أو أكواد خبيثة قد تمنح المهاجمين فرصة للوصول إلى أجهزتهم أو تنفيذ هجمات إلكترونية أخرى.
وأشار الباحث الأمني أندي أحمدي إلى أن هذا النوع من الهجمات يمثل تحديًا متزايدًا مع انتشار تطبيقات الذكاء الاصطناعي التوليدي، موضحًا أن النماذج الحديثة أصبحت أكثر تعقيدًا وتشبه في وظائفها أنظمة التشغيل والمتصفحات، ما يجعلها هدفًا لاكتشاف ثغرات جديدة.
هل تقتصر المشكلة على شات جي بي تي؟
يرى الباحثون أن هذه الثغرة لا ترتبط ببرنامج واحد فقط.. بل قد تؤثر على العديد من تطبيقات الذكاء الاصطناعي التوليدي التي تعتمد على معالجة المحتوى القادم من الإنترنت.. نظراً لأن المشكلة مرتبطة بطبيعة عمل هذه النماذج أكثر من كونها خطأ برمجياً منفرداً.
ولم تصدر شركة openai.com حتى الآن تعليقاً رسمياً بشأن هذه التقارير أو إمكانية طرح إصلاحات لمعالجة هذه الثغرة المحتملة.
