ذكاء Gemini يُستخدم لاختراق المنازل الذكية عبر تقويم مزيف!

في مفاجأة مدوية ضمن فعاليات مؤتمر Black Hat الإلكتروني الشهير، كشف مجموعة من الباحثين الأمنيين عن طريقة للاحتيال على مساعد جوجل Gemini باستخدام حيلة بسيطة لكنها فعالة للغاية: دعوة تقويم مسمومة. فكرة الاختراق التي حملت اسم "الدعوة هي كل ما تحتاجه"، تعتمد على ضخ أوامرخبيثة مخفية في أحداث التقويم، تُمكّن المهاجم من السيطرة على أجهزة المنزل الذكية أو سرقة بيانات غاية في الحساسية من دون أن يشعر المستخدم بأي تغيير ملموس في واجهة المساعد الافتراضي.

هذه الهجمة التقنية المعقدة قام على تطويرها فريق من جامعات إسرائيلية بارزة ومختبر SafeBreach وبفضل استغلالهم لما يسمى بهجوم الحقن غير المباشر للأوامر (Indirect Prompt Injection)، أثبت الباحثون أنهم قادرون على تنفيذ 14 سيناريو اختراق متنوع. وكل ما على المخترق فعله هو إدراج تعليمات برمجية خفية عند تنظيم موعد أو إرسال بريد إلكتروني، ليقوم Gemini بعدها، عند تلخيص المساعد لجدول المستخدم الأسبوعي، بتنفيذ تلك التعليمات دون علم صاحب الحساب. وهذا هو الرابط بين أحدث تقنيات الذكاء الاصطناعي والتهديدات التي قد تواجه البنية التحتية لكل منزل يعتمد على الأدوات الذكية والمساعدات الرقمية.

تأثير الهجمة يمتد إلى ما هو أبعد من مجرد إطفاء الأنوار أو فتح النوافذ. فعند تلخيص Gemini لمعلومات الأيام القادمة، يمكن تنشيط أكواد غير مرئية للبشر، لكنها مفهومة تماماً للمساعد. وهذا يسمح للمهاجم ليس فقط بالتحكم في تجهيزات المنزل مثل التدفئة أو الإضاءة، بل يصل إلى إمكانية بدء مكالمات فيديو غير مصرح بها، سرقة ملفات عبر متصفح الإنترنت، إرسال رسائل مزعجة بل وحتى تتبع موقع المستخدم الجغرافي بدقة. وبينما تبدو واجهات التقنية بسيطة وودية، يكشف هذا النوع من هجمات “برمجيات التوجيه المستهدفة” (Targeted Promptware Attacks) عن تشابك معقد بين سهولة الاستخدام والحاجة الملحة للأمان المتقدم.

من هنا تبرز استجابة جوجل لمحاولة سد هذه الثغرات الخطرة. إذ أشارت الشركة، عقب تلقيها بلاغاً بالهجمات في فبراير الماضي، إلى اعتماد مستويات متقدمة من الحماية: بداية من استخدام أنظمة تصفية للمحتوى الضار، مروراً بتقنيات تعزيز الأمان أثناء معالجة الأوامر، وصولاً لرصد الروابط المشبوهة اعتماداً على قاعدة بيانات التصفح الآمن لـGoogle. هذه التدابير تستهدف منع Gemini من تفسير وتسليم الأوامر الخبيثة، كما تبدأ في التحقق من العمليات ذات المخاطر العالية بإعادة توجيه الطلب للمستخدم للموافقة الصريحة، وإشعاره في حال حدوث تصدٍ ناجح لأي تهديد.

لكن يبقى الأهم أن هذه المخاطر ليست إلا بداية عهد جديد من تهديدات الذكاء الاصطناعي مع تعمقه في تفاصيل حياتنا اليومية. إذ كشفت تحليلات باحثي الأمن أن 73% من سيناريوهات الهجوم المصممة تقع ضمن فئة “ذات خطورة حرجة” على خصوصية وسلامة المستخدمين، حتى إن كانت إسعافات جوجل السريعة قد قلّصت حجم الخطر بدرجة ملحوظة. هذه النتائج تبرز الحاجة المتزايدة لإعادة التفكير في صلاحيات المساعدات الذكية، خاصة حين تبدأ في الربط بين التطبيقات والأنظمة بسهولة لا تتوفر عادةً بين البشر والحواسيب.

ختاماً، يبدو أن عصر المنازل الذكية يفتح الباب أمام سؤال جوهري: كيف نوازن بين الراحة والثقة حين تصبح خصوصيتنا رهينة لأسطر من أوامر مخفية في بريد إلكتروني أو دعوة تقويم عابرة؟ وفي خضم التطور السريع لخوارزميات الذكاء الاصطناعي، ربما آن الأوان لإعادة تقييم المصطلحات المستخدمة في المجال مثل “المساعد الذكي” والتركيز أكبر على الأمان والشفافية في كل واجهة وتقنية جديدة، مع ضرورة الربط الواضح بين سهولة الاستخدام والإجراءات الوقائية، ليبقى كل بيت أذكى وأمنّ على السواء.