900 ألف ضحية: إضافات متصفح كروم تتجسس على محادثات ChatGPT وأنظمة الذكاء الاصطناعي

بينما يتصفح الملايين واجهات الذكاء الاصطناعي يوميًا بثقة وفضول، اكتشف الباحثون في الأمن السيبراني مفاجأة صادمة: إضافتان لمتصفح كروم، كانتا تبدوان كمساعدين ذكيين، تسلّلتا إلى محادثات المستخدمين مع أدوات مثل ChatGPT وDeepSeek وسرقتا بياناتهم دون علمهم. هذا الكشف الذي أُعلن في نهاية ديسمبر 2025، يعيد فتح النقاش حول هشاشة الخصوصية في الأدوات التي يُفترض أنها تساعدنا على التفكير والإبداع بأمان.

بحسب تقرير صادر عن شركة OX Security، تمكّن مطوّرون مجهولون من تزييف إضافة تحمل الاسم AITOPIA، المعروفة بتقديم شريط جانبي للتفاعل مع محركات الذكاء الاصطناعي. الإصداران المزيفان، اللذان حُمّلا أكثر من تسعمئة ألف مرة، قاما بانتحال واجهة الأداة الأصلية وتشغيلها بصورة طبيعية، لكنهما في الخلفية كانا يرسلان النسخ الكاملة من المحادثات والبيانات إلى خوادم مجهولة كل ثلاثين دقيقة. واحدة من الإضافتين نالت حتى شارة “Featured” من جوجل، وهي إشارة تُمنح عادة للإضافات الموثوقة.

اعتمدت البرمجيات الخبيثة على أذونات كروم التي تبدو آمنة في الظاهر، مثل جمع تحليلات “مجهولة الهوية”، لتصل فعلياً إلى محتوى الصفحات المفتوحة. وعندما يدخل المستخدم إلى ChatGPT أو DeepSeek، تبدأ الأكواد الخفية في التقاط النصوص مباشرة من عنصر DOM داخل المتصفح، لتُرسلها بعد تشفير بسيط إلى نطاقات مشبوهة. هذا الأسلوب الهادئ والمستمر يجعل اكتشاف الهجوم شبه مستحيل بالنسبة للمستخدم العادي.

لم يكن هذا الحادث الأول من نوعه. فقد كشفت شركة Koi Security في وقت سابق عن امتدادات VPN مجانية جمعت بيانات محادثات من تطبيقات عدة، بينها Copilot وClaude وGemini. ما يجمع هذه الحالات هو نفس النمط الخطير: أدوات مجانية، شعارات براقة، وتصميم يوحي بالموثوقية، لكنها تعمل كقنوات تسريب مستمرة لمعلومات المستخدمين الحساسة.

توضح تقارير الأمان الحديثة أن 99٪ من مستخدمي المؤسسات لديهم امتداد واحد على الأقل في متصفحهم، وأكثر من نصف تلك الامتدادات تُصنف بأنها “مرتفعة الخطورة”. الخطورة هنا لا تأتي فقط من عيوب البرمجة، بل من قدرة المهاجمين على تحديث الإضافة عن بُعد دون إشعار المستخدم — فيما يُعرف بأسلوب “العميل النائم”. أي امتداد آمن اليوم يمكن أن يتحول إلى أداة تجسس غدًا بمجرد تحديث بسيط.

من السهل أن ننسى أننا عندما نمنح إضافة صلاحية للوصول إلى المتصفح، فإننا نفتح بابًا كاملاً إلى حياتنا الرقمية: من سجل البحث إلى محادثات العمل. المفارقة المؤلمة أن الأدوات التي وُجدت لتسهيل إنتاجية المستخدمين أصبحت طريقًا خفيًا نحو تسريب أفكارهم وخططهم التجارية. لذلك صار الوعي والقدرة على التحقق من هوية الإضافات، مهما بدت مألوفة، أمرًا لا يقل أهمية عن تحديث النظام نفسه.

يبقى السؤال الأعمق: هل يمكننا بناء منظومة ذكاء اصطناعي تحترم خصوصية المستخدم مثلما تحترم ذكاءه؟ في زمن أصبحت فيه البيانات عملة ثمينة، يبدو أن من يمتلك الوعي هو المطوّر الحقيقي لمستقبل أكثر أماناً.