التاج الإخباري -

تستخدم شركات مثل Lovable وBase44 وReplit وNetlify الذكاء الاصطناعي لتمكين أي شخص من إنشاء تطبيق ويب خلال ثوانٍ، لكن في آلاف الحالات تسببت هذه الأدوات في تسريب بيانات شديدة الحساسية إلى الإنترنت العام.

ومع تزايد اعتماد المبرمجين على أدوات الذكاء الاصطناعي، حذّر خبراء الأمن السيبراني من أن أدوات البرمجة الآلية ستؤدي حتماً إلى ظهور ثغرات جديدة قابلة للاختراق داخل البرمجيات، مشيرين إلى أن المشكلة لا تقتصر على الثغرات فقط، بل تشمل غياباً للحماية الأمنية حتى للبيانات الحساسة جداً الخاصة بالشركات والأفراد عند السماح بنشر التطبيقات مباشرة على الويب.

وقام الباحث الأمني دور زفي وفريقه في شركة الأمن السيبراني RedAccess بتحليل آلاف تطبيقات الويب التي تم إنشاؤها باستخدام أدوات تطوير تعتمد على الذكاء الاصطناعي مثل Lovable وReplit وBase44 وNetlify، ووجدوا أكثر من 5000 تطبيق يفتقر تقريباً لأي نوع من الحماية أو أنظمة التحقق من الهوية، حيث يسمح العديد منها لأي شخص يصل إلى الرابط بالوصول إلى البيانات مباشرة، بينما اعتمدت تطبيقات أخرى على وسائل حماية بسيطة مثل السماح بالدخول باستخدام أي بريد إلكتروني فقط.

وأوضح زفي أن حوالي 40 بالمئة من هذه التطبيقات كانت تحتوي على بيانات حساسة، من بينها معلومات طبية وبيانات مالية وعروض تقديمية خاصة بالشركات ووثائق استراتيجية وسجلات تفصيلية لمحادثات العملاء مع روبوتات الدردشة.

وقال زفي: النتيجة النهائية هي أن المؤسسات أصبحت تسرّب بيانات خاصة عبر التطبيقات التي يتم إنشاؤها بالذكاء الاصطناعي، مشيراً إلى أن هذه واحدة من أكبر الحوادث التي يتم فيها كشف بيانات حساسة أمام أي شخص في العالم.

وأشار إلى أن العثور على هذه التطبيقات كان سهلاً بشكل مفاجئ، لأن منصات Lovable وReplit وBase44 وNetlify تسمح باستضافة التطبيقات على نطاقات الشركات نفسها، ما أتاح استخدام عمليات بحث عبر Google وBing للوصول إلى آلاف التطبيقات.

ومن بين التطبيقات الخمسة آلاف، وجد الباحثون نحو ألفي تطبيق يبدو أنها تكشف بيانات خاصة فعلية.

وأظهرت لقطات شاشة شاركوها مع مجلة WIRED أن بعضها لا يزال متاحاً على الإنترنت، وتتضمن بيانات مثل جداول عمل مستشفى تحتوي على معلومات شخصية للأطباء، ومعلومات تفصيلية عن حملات إعلانية لشركات، وعروض استراتيجية تسويقية، وسجلات محادثات عملاء تتضمن أسماء وبيانات اتصال، إضافة إلى سجلات شحن ومبيعات وبيانات مالية متنوعة.

وفي بعض الحالات، قال زفي إن التطبيقات المكشوفة كانت تسمح بصلاحيات إدارية كاملة داخل الأنظمة وحتى إزالة مسؤولين آخرين.

كما أشار إلى العثور داخل منصة Lovable على مواقع تصيد احتيالي تنتحل أسماء شركات كبرى مثل بنك أوف أميركا وكوستكو، ويبدو أنها أُنشئت باستخدام أدوات الذكاء الاصطناعي الخاصة بالمنصة.

وعند طلب التعليق، لم ترد Netlify، بينما اعترضت شركات أخرى على النتائج، وقالت إن الباحثين لم يشاركوا تفاصيل كافية أو يمنحوها وقتاً كافياً للرد، لكنها لم تنكر أن التطبيقات كانت مكشوفة للعامة.

وكتب الرئيس التنفيذي لشركة Replit أمجد مسعد على منصة X أن بعض المستخدمين نشروا تطبيقات عامة كان ينبغي أن تبقى خاصة، مؤكداً أن إمكانية النشر العام سلوك متوقع ويمكن تعديل الخصوصية بسهولة.

وقالت Lovable إنها تحقق في القضية وتتعامل مع تقارير كشف البيانات ومواقع التصيد بجدية، بينما أكدت Base44 أن إعدادات الحماية متاحة للمستخدمين وأن تعطيلها يتم بقرار منهم، وأن ظهور التطبيقات للعامة يعكس اختيار المستخدم.

وأشار زفي إلى أن بعض المستخدمين أكدوا أن بياناتهم كانت مكشوفة، بينما تلقى الفريق رسائل شكر بعد تنبيه أصحاب التطبيقات ليتم إغلاقها أو تأمينها.

وقال الباحث الأمني جويل مارغوليس إن التحقق من كون البيانات حقيقية أو تجريبية قد يكون صعباً، لكنه أكد أن مشكلة كشف البيانات عبر تطبيقات الذكاء الاصطناعي حقيقية وتتكرر باستمرار.

وأضاف أن المستخدمين غير المتخصصين في الأمن السيبراني قد ينشئون تطبيقات دون إعدادات حماية كافية، ما يؤدي إلى هذه الثغرات.

وأشار زفي إلى أن آلاف التطبيقات الأخرى قد تكون مستضافة على نطاقات خاصة بالمستخدمين وليست ضمن نطاقات الشركات.

وشبه الباحثون المشكلة بأزمة إعدادات التخزين السحابي في Amazon S3 التي أدت سابقاً إلى تسريب بيانات حساسة بسبب أخطاء في الإعدادات، معتبرين أن أدوات الذكاء الاصطناعي تعيد إنتاج المشكلة نفسها.

واختتم زفي بالقول إن أي شخص داخل الشركات يمكنه الآن إنشاء تطبيق في أي لحظة دون مراجعة أمنية، وتشغيله مباشرة على الإنترنت.