اكتشف باحثون ثغرة في شات جي بي تي تسمى ChatGPhish، تسمح للمخترقين بتحويل ملخصات الويب إلى فخاخ لسرقة البيانات وتجاوز الحماية الأمنية بسهولة.
ما هي ثغرة ChatGPhish وكيف تستهدف مستخدمي شات جي بي تي؟
تعتمد ثغرة ChatGPhish على استغلال الثقة الضمنية التي يمنحها نظام شات جي بي تي لروابط Markdown والصور عند معالجة محتوى من طرف ثالث. وفقاً لما تابعه فريق تيكبامين، فإن واجهة عرض النتائج في الموقع الرسمي للذكاء الاصطناعي تقوم بمعالجة هذه الروابط تلقائياً وتحويلها إلى عناصر حية وقابلة للنقر داخل واجهة المستخدم الموثوقة.
تكمن الخطورة في أن النظام يقوم بجلب الصور والمحتويات من خوادم خارجية بمجرد أن يطلب المستخدم تلخيص صفحة ويب تحتوي على كود خبيث، مما يفتح الباب أمام سلسلة من الهجمات التي تستهدف خصوصية المستخدم وبياناته الحساسة دون علمه.
كيف تتحول ملخصات الويب إلى فخ لاختراق البيانات؟
في سيناريو هجوم محتمل، يمكن للمهاجم إضافة كود بسيط إلى أي صفحة ويب قد يطلب الضحية من شات جي بي تي تلخيصها لاحقاً. وبحسب ما رصده موقع تيكبامين، يؤدي ذلك إلى النتائج التالية:
- تسريب عنوان البروتوكول (IP) الخاص بالمستخدم.
- كشف تفاصيل متصفح المستخدم (User-Agent).
- الحصول على معلومات الإحالة (Referer) التي توضح مصدر الزيارة.
- إظهار تنبيهات أمنية وهمية تحاكي أسلوب النظام لخداع المستخدم.
لا يتوقف الأمر عند هذا الحد، بل يمكن للمهاجمين عرض أكواد الاستجابة السريعة (QR Codes) من خوادم خارجية، مما يدفع المستخدم لمسحها عبر هاتفه المحمول، وهو ما يؤدي عملياً إلى تجاوز فلاتر الروابط وأنظمة الحماية المؤسسية المفروضة على أجهزة الكمبيوتر المكتبية.
المخاطر الأمنية المترتبة على ثغرة ChatGPT الجديدة
حقن الأوامر غير المباشر وتأثيره
إن ما يجعل ChatGPhish تقنية هجومية جديرة بالاهتمام ليس مجرد "حقن الأوامر"، بل الطريقة التي يتم بها اتباع التعليمات المدمجة في صفحة الويب وتقديمها للمستخدم كجزء من ملخص موثوق. هذا التحول يعني أن أي صفحة ويب عادية يقوم الموظفون بتلخيصها لأغراض البحث قد تحتوي على حمولة برمجية خبيثة تحول الذكاء الاصطناعي إلى أداة تصيد.
تشمل المخاطر الرئيسية التي قد يواجهها المستخدمون ما يلي:
- روابط تصيد حية: تظهر كروابط رسمية داخل واجهة الدردشة.
- تنبيهات حساب مزيفة: تطلب من المستخدم إدخال بيانات الدخول.
- صور عن بعد: تُستخدم لتتبع نشاط المستخدم وتحديد موقعه.
- تجاوز الرقابة: استخدام أساليب بصرية لخداع المستخدمين بعيداً عن أعين أنظمة الأمان.
لماذا يعتبر هجوم ChatGPhish أخطر من التصيد التقليدي؟
يؤكد الخبراء أن الانتقال من البريد الإلكتروني إلى المتصفح يوسع سطح الهجوم بشكل كبير؛ فالمستخدم لم يعد بحاجة لفتح مرفق مشبوه أو التفاعل مع رسالة مريبة. مجرد القيام بنشاط التصفح الطبيعي وتلخيص صفحة ويب قد يؤدي إلى إدخال تعليمات المهاجم إلى سياق النموذج ومن ثم إلى الرد النهائي الذي يراه المستخدم.
سبق وأن تم رصد تقنيات مشابهة في أنظمة أخرى مثل مايكروسوفت كوبايلوت، حيث أمكن لرسائل بريد إلكتروني تحتوي على تعليمات مخصصة أن تؤثر على مخرجات الذكاء الاصطناعي. ومع تزايد اعتماد المؤسسات على شات جي بي تي في أعمالها اليومية، تبرز أهمية الحذر عند التعامل مع ملخصات المحتوى الخارجي، حيث تظل ثغرة ChatGPT هذه تذكيراً دائماً بأن الثقة المطلقة في الأدوات الرقمية قد تكون نقطة الضعف الكبرى.
