ثغرات في منصات وتطبيقات معروفة: ديسكورد ومحركات الألعاب

تُعتبر تطبيقات مثل ديسكورد (Discord) ومحركات الألعاب مثل يونيتي (Unity) هدفًا محتملًا للمهاجمين نظرًا لقاعدة مستخدميها الواسعة وطبيعة البيانات التي تتعامل معها.

  • ديسكورد وثغرات تنفيذ التعليمات البرمجية عن بعد (RCE):
    • اكتُشفت ثغرات أمنية في منصة الدردشة ديسكورد، التي تُستخدم على نطاق واسع في مجتمعات الألعاب والتواصل.
    • أحد هذه الاكتشافات كشف عن إمكانية تنفيذ تعليمات برمجية عن بعد (RCE) من خلال تسلسل ثلاث ثغرات أمنية في إطار العمل Electron JS الذي يعتمد عليه التطبيق.
    • تسمح هذه الثغرات باستغلال نقاط ضعف مثل عزل السياق المفقود، والبرمجة النصية عبر المواقع (XSS) في ميزة تضمين الـ iframe، وتجاوز قيود التنقل (CVE-2020-15174).
    • يُعدّ الإبلاغ عن هذه الثغرات وتصحيحها أمرًا بالغ الأهمية لتجنب استغلالها من قِبل جهات غير مصرح لها.
  • محركات الألعاب وتحديثات الأمان:
    • تعرضت محركات ألعاب شهيرة مثل يونيتي لثغرات أمنية تتطلب إجراءً فوريًا من المطورين.
    • دفعت هذه الثغرات الشركات إلى إصدار تصحيحات تحديثية، وطُلب من المطورين تحديث المحرر قبل بناء ونشر ألعابهم لضمان الحماية.
    • في بعض الحالات، سارعت استوديوهات تطوير الألعاب إلى سحب أو تعليق ألعابها مؤقتًا من المتاجر الإلكترونية حتى يتم تطبيق التحديثات الأمنية الضرورية.

جدل جوجل وتطبيق “جيميني” وثغرة “تهريب ASCII”

أثير جدل واسع مؤخرًا بخصوص نظام الذكاء الاصطناعي جيميني (Gemini) المدمج في بيئة عمل جوجل، خاصة في خدمات Google Workspace (مثل Gmail وDocs).

  • اكتشاف الثغرة: اكتشف باحثون أمنيون وجود ثغرة وُصفت بالخطيرة في نظام جيميني، ترتكز على تقنية تسمى “تهريب ASCII” (ASCII Smuggling).
  • كيف يعمل الهجوم؟ تعتمد هذه التقنية على إخفاء تعليمات خبيثة أو موجهات سرية داخل نصوص تبدو عادية (باستخدام رموز أو خطوط صغيرة جدًا)، والتي لا يلاحظها المستخدم. عندما يُطلب من أداة الذكاء الاصطناعي مثل جيميني تلخيص أو تحليل المحتوى، فإنها تقرأ وتنفذ الأمر المخفي دون علم المستخدم، مما قد يؤدي إلى:
    • قيام الذكاء الاصطناعي بالبحث عن معلومات شخصية أو بيانات اتصال حساسة ضمن بيئة المستخدم.
    • إرسال هذه المعلومات إلى خوادم خارجية أو أطراف مجهولة.
  • موقف جوجل المُثير للجدل: ردت شركة جوجل بأنها لن تعالج الثغرة، مُعتبرةً أن هذا الهجوم لا يُصنّف “كخلل أمني” في البنية التقنية لجيميني، بل هو شكل من أشكال “الهندسة الاجتماعية” أو “خلل ناتج عن تفاعل غير مُبالٍ من المستخدم”.
  • المخاوف المتصاعدة: أثار قرار جوجل رفض إصلاح الثغرة مخاوف كبيرة في مجتمع الأمن السيبراني. يرى الخبراء أن تجاهل معالجة هذه الثغرة قد يحول أدوات الذكاء الاصطناعي المُدمجة (مثل جيميني داخل Google Workspace) إلى بوابة جديدة لتسريب البيانات المؤسسية والشخصية على نطاق واسع، وأن إلقاء المسؤولية بالكامل على “وعي المستخدم” قد لا يكون كافيًا لحماية البيانات الحساسة في بيئات العمل المعقدة.

خلاصة

يُشكل ظهور الثغرات الأمنية في التطبيقات والمنصات المعروفة تحديًا دائمًا للشركات والمستخدمين على حد سواء. وبينما تسارع بعض الشركات (مثل مطوري محرك يونيتي وديسكورد في حالات سابقة) إلى إصدار التصحيحات الضرورية، فإن موقف جوجل من ثغرة “جيميني” يُسلط الضوء على تباين استراتيجيات التعامل مع نقاط الضعف في فجر عصر الذكاء الاصطناعي، ويؤكد على الحاجة المُلحة إلى إعادة تقييم معايير الأمان ومسؤولية الشركات في حماية خصوصية بيانات المستخدمين.

شاهد أيضاً

🚨 مخاطر الاختراق عبر متصفحات الذكاء الاصطناعي

الخطر الأبرز والأكثر ارتباطاً بتحذير “الهاشتاغ الواحد” يندرج تحت فئة الهجمات المعروفة باسم “حقن الأوامر …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *