في تطور مفاجئ أثار قلق خبراء الأمن السيبراني حول العالم، كشفت شركة مايكروسوفت عن وجود خلل أمني خطير في مساعدها الذكي Microsoft Copilot. هذا الخلل سمح لنظام الذكاء الاصطناعي بتجاوز البروتوكولات الأمنية الصارمة والوصول إلى مراسلات حساسة ومعلومات سرية لم يكن من المفترض أن يطلع عليها، مما يضع خصوصية الشركات والمستخدمين على المحك في ظل الاعتماد المتزايد على أدوات الذكاء الاصطناعي في بيئات العمل.
يتناول المقال تفاصيل الثغرة الأمنية المكتشفة في مساعد مايكروسوفت الذكي، وكيف تسبب في تسريب ملخصات لرسائل بريد إلكتروني سرية من مجلدات المسودات والعناصر المرسلة، متجاهلاً أنظمة الحماية المتقدمة مثل Microsoft Purview، مع استعراض ردود الفعل الدولية تجاه هذا الخلل.
- ✅ تجاوز Copilot للحواجز الأمنية وتلخيص رسائل البريد الإلكتروني الحساسة دون إذن.
- ✅ تجاهل المساعد الذكي لسياسات منع فقدان البيانات (DLP) ووسوم الأمان في Microsoft Purview.
- ✅ الخلل البرمجي يحمل الرمز الرسمي CW1226324 ويؤثر على خدمات Microsoft 365.
- ✅ مخاوف دولية دفعت البرلمان الأوروبي لحظر ميزات الذكاء الاصطناعي على أجهزة العمل.
كيف اخترق Copilot جدار الخصوصية وتجاهل أنظمة الحماية؟
أشارت التقارير التقنية الصادرة عن منصة BleepingComputer إلى أن المساعد الذكي Copilot قد تجاهل بشكل تام سياسات منع فقدان البيانات المعتمدة. الثغرة تكمن في عدم قدرة النظام على احترام علامات الأمان الخاصة بـ Microsoft Purview، وهي الأداة المحورية التي تعتمد عليها المؤسسات الكبرى لتصنيف وحماية بياناتها من التسريب.
ونتيجة لهذا الخلل، استطاع المساعد الذكي قراءة وتلخيص الرسائل الموجودة في مجلدات "العناصر المرسلة" و "المسودات"، حتى تلك التي تحمل تصنيفات "سري للغاية". المشكلة الجوهرية تكمن في آلية تفاعل Copilot مع أذونات الوصول؛ فبمجرد امتلاك الموظف لصلاحية القراءة، يقوم الذكاء الاصطناعي بمعالجة المحتوى وعرضه دون مراعاة للقيود الإضافية المفروضة على تداول تلك المعلومات داخلياً.
اعتراف مايكروسوفت الرسمي بطبيعة الثغرة CW1226324
لم تنكر شركة مايكروسوفت وجود المشكلة، بل قامت بتصنيفها تحت الكود البرمجي CW1226324. وأوضحت الشركة أن ما حدث ليس ثغرة أمنية بالمعنى التقليدي للاختراق الخارجي، بل هو "خلل في تفسير الصلاحيات" ضمن بيئة Microsoft 365. هذا الخلل سمح لخدمة الدردشة باسترجاع عناصر مصنفة بأنها "سرية" ومعالجتها بشكل خاطئ.
وعلى الرغم من تأكيدات الشركة بأنها تعمل على إصلاح الخلل والتواصل مع المؤسسات المتضررة، إلا أنه لا يوجد حل جذري متاح حتى هذه اللحظة. يرى الخبراء أن هذا السلوك يضرب وعود مايكروسوفت الأمنية في مقتل، خاصة وأن إصدار المؤسسات من Copilot تم تسويقه بناءً على قدرته الفائقة في احترام خصوصية البيانات من خلال نظام الوسوم والتشفير.
تداعيات دولية وحظر استخدام الذكاء الاصطناعي في البرلمان الأوروبي
تزامن هذا الكشف مع ضغوط سياسية وأمنية متزايدة، حيث اتخذ البرلمان الأوروبي خطوة حاسمة بحظر استخدام أدوات الذكاء الاصطناعي على أجهزة العمل الخاصة بالمشرعين. ووفقاً لتقارير إعلامية، فإن هذا القرار جاء نتيجة اعتبار هذه الأدوات غير آمنة للتعامل مع البيانات الحكومية والتشريعية الحساسة، مما يعزز المخاوف من قدرة الشركات التقنية على السيطرة الكاملة على سلوك أنظمة الذكاء الاصطناعي التوليدي.
ما هو السبب التقني وراء تسريب Copilot للرسائل السرية؟
يعود السبب إلى خلل في كيفية تفسير الأذونات البرمجية (CW1226324)، حيث فشل النظام في التمييز بين حق الموظف في القراءة وبين القيود التي تمنع الذكاء الاصطناعي من تلخيص ومشاركة المحتوى المصنف كبيانات وصفية مقيدة.
هل تم حل الثغرة الأمنية في Microsoft 365 بشكل نهائي؟
حتى الآن، أكدت مايكروسوفت أنها تعمل على الإصلاح، لكنها لم تصدر تحديثاً نهائياً يضمن إغلاق هذه الثغرة، وقد بدأت بالفعل في التواصل مع الشركات المتضررة لتقديم الدعم التقني اللازم.
ما هي المجلدات التي طالها هذا الخلل البرمجي؟
تمكن المساعد الذكي من الوصول إلى الرسائل الموجودة في مجلد "العناصر المرسلة" ومجلد "المسودات"، وهي مناطق تحتوي عادةً على معلومات حساسة لم تكتمل صياغتها أو تم إرسالها لجهات محددة فقط.
لماذا حظر البرلمان الأوروبي استخدام الذكاء الاصطناعي؟
جاء القرار كإجراء احترازي لحماية البيانات السيادية والتشريعية، بعد تزايد التقارير التي تشير إلى أن أدوات الذكاء الاصطناعي قد تقوم بتخزين أو معالجة معلومات سرية بطريقة تجعلها عرضة للتسريب أو الوصول غير المصرح به.
🔎 في الختام، تظل الثغرة الأمنية المكتشفة في Microsoft Copilot تذكيراً قوياً بأن التطور المتسارع في تقنيات الذكاء الاصطناعي يجب أن يواكبه تطور مماثل في معايير الأمان والخصوصية. إن اعتراف شركة بحجم مايكروسوفت بوجود مثل هذا الخلل يضع مسؤولية كبيرة على عاتق المؤسسات لمراجعة سياسات استخدام الذكاء الاصطناعي لديها، وضمان عدم التضحية بسرية المعلومات في سبيل الكفاءة والإنتاجية.
قم بالتعليق على الموضوع