ذكاء اصطناعي
منصات
ريادة عربية
أجهزة ذكية
هواتف
برمجةثغرة في Microsoft 365 Copilot تُمكّن مخترقين من سرقة رسائل البريد الإلكتروني
أداة كوبايلوت من مايكروسوفت تعرضت لثغرة سمحت بسرقة بيانات حساسة.
تمكن المهاجمون من استغلال كوبايلوت عن طريق تعليمات مخفية بالنص الأبيض.
الرسومات في كوبايلوت حُولت إلى قنوات تسريب خفية للمعلومات بالنقر على زر.
مايكروسوفت تعطلت التفاعلات القابلة للنقر ولكن السؤال الأمني الأكبر لا يزال قائماً.
يكشف الحادث عن مدى قابلية أنظمة الذكاء الاصطناعي للتلاعب في بيئات العمل.
في مكاتب الشركات التي تسابق الزمن لدمج أدوات الذكاء الاصطناعي في كل زاوية من أعمالها، حدث ما لم يتوقعه أحد. أداة يفترض بها أن تساعد الموظفين على إنتاج المعرفة وتحليل البيانات تحولت فجأة إلى بوابة تسريب للمعلومات. هذا ما كشفه الباحث الأمني آدم لوك عن ثغرة في "مايكروسوفت 365 كوبايلوت"، سمحت لمهاجمين بارعين بسرقة بيانات حساسة من داخل بيئات العمل عبر تقنية خبيثة تعتمد على ما يسمى بحقن الأوامر غير المباشر.
ذكاء اصطناعي يقع في فخ البشر
تكمن غرابة هذه الثغرة في أنها لم تعتمد على اختراق تقليدي أو استغلال برمجي مباشر، بل على خداع لغوي موجه للذكاء الاصطناعي ذاته. المهاجمون أخفوا تعليمات خبيثة داخل مستندات أوفيس باستخدام نص أبيض على خلفية بيضاء، لا يراه المستخدم لكنه يُقرأ بوضوح من قبل كوبايلوت. وما إن يطلب المستخدم تلخيص المستند حتى يتحول الذكاء الاصطناعي من مساعد إلى منفذ لأوامر غير مرئية.
من الرسم البياني إلى قناة تسريب
أحد أكثر عناصر الهجوم ابتكارًا هو استغلال خاصية إنشاء الرسومات باستخدام لغة Mermaid، وهي أداة مدمجة في كوبايلوت لتوليد مخططات مرئية. استغل المهاجمون هذه الميزة لتحويل الرسومات إلى واجهات مزيفة تحمل أزرارًا تحتوي على بيانات مسروقة من رسائل البريد الإلكتروني، مشفرة داخل سلاسل سداسية. وبكبسة زر واحدة من المستخدم، تنتقل هذه المعلومات إلى خوادم يتحكم بها المهاجم.
أزمة الثقة في الذكاء المؤسسي
تكشف هذه الحادثة عن تحول عميق في مشهد الأمن السيبراني. لم يعد الخطر مقتصرًا على الأكواد والبرمجيات التي تهاجم الأنظمة، بل أصبح الذكاء الاصطناعي نفسه هدفًا قابلًا للتلاعب. إدخال نموذج لغوي عملاق في بيئة العمل يعني فتح باب جديد من الأسئلة حول خصوصية البيانات وحدود الوعي الاصطناعي بمصادره وأوامره.
ما وراء التصحيح التقني
استجابت مايكروسوفت بسرعة عبر تعطيل العناصر القابلة للنقر في الرسومات، وهو حل يوقف عملية التسريب ولكنه لا يعالج المعضلة الأساسية: كيف ينبغي تدريب أنظمة الذكاء الاصطناعي لتجاهل الأوامر المخفية وعدم الانخداع بسياقات ظاهرها بريء؟ إنه سؤال يتجاوز البرمجة إلى فلسفة التصميم الآمن للذكاء الاصطناعي في المؤسسات.
الذكاء الاصطناعي تحت المجهر
الحادثة ليست مجرد خطأ عابر، بل إشارة إلى التحديات القادمة مع تسارع دمج الذكاء الاصطناعي في الأعمال اليومية. كلما زادت قدرته على الفهم والتفاعل، زادت الحاجة إلى حفظه من نفسه ومن ذكاء الآخر. فالثقة التي نمنحها للخوارزميات تشبه العملة الرقمية: قيمتها في صلابتها، لكنها قد تنهار من ثغرة واحدة مخفية بين السطور.
