عندما يردّ المتصفح: حدود سرية Copilot تتعرض للضغط
يكشف إعلان Microsoft عن ثلاث ثغرات حرجة في كشف المعلومات مرتبطة بـ Copilot في Edge عن مخاطرة مؤسسية مألوفة: أدوات الذكاء الاصطناعي لا تكون آمنة إلا بقدر أمان بوابات السياسات بين المستخدم والمتصفح والبيانات التي يمكنها الوصول إليها.
تُباع المساعدات المؤسسية Copilot على أنها طبقات إنتاجية، لكنها تتموضع أيضًا في مكان حساس: بين الهوية وسياق المتصفح وبيانات الشركة. وإذا انكسر ذلك الحدّ الموثوق، فالنتيجة ليست بالضرورة تنفيذًا للشيفرة أو استيلاءً كاملًا على النظام. وغالبًا ما تكون النتيجة أهدأ وأصعب في الرصد - كشفًا غير مصرّح به للمعلومات التي كان ينبغي أن تبقى داخل المستأجر.
هذه هي المخاطرة التي تثيرها ثلاث ثغرات حرجة في كشف المعلومات تؤثر في Microsoft 365 Copilot وCopilot Chat داخل Microsoft Edge. لم تُفصَّل الآلية الدقيقة علنًا في المواد المتاحة هنا، لكن المعنى الأمني واضح: خلل في مسار معالجة البيانات قد يسمح للمحتوى بتجاوز حدٍّ صممته Microsoft لحماية السرية.
حقائق سريعة
- تم الكشف عن ثلاث ثغرات حرجة في كشف المعلومات تؤثر في Microsoft 365 Copilot وCopilot Chat داخل Microsoft Edge.
- تتركز المخاطرة على بيانات المؤسسة الحساسة وسرية الشركة، لا على البرمجيات الخبيثة أو اختراق الجهاز.
- يمكن لـ Edge تمرير سياق الصفحة إلى Copilot Chat، ما يوسّع دور المتصفح في مسار البيانات.
- صُممت ضوابط Microsoft للمؤسسات لإبقاء Copilot ضمن حدود الأذونات والتصنيفات وDLP.
- لا تؤكد المواد العامة استغلالًا فعليًا في العالم الحقيقي ولا تحدد المؤسسات المتأثرة.
أين تكمن أهمية الضعف
ليس Copilot في Edge مجرد مربع دردشة. إذ يمكنه العمل مع عناوين الصفحات وعناوين URL والمطالبات وسجل المحادثة - واعتمادًا على السياسة واختيار المستخدم - سياق التصفح. وهذا يجعل المتصفح جزءًا من نموذج الأمان. وإذا فشلت الضوابط التي تفصل بين ما يُسمح للمستخدم برؤيته وبين المخرجات الموجزة للنموذج، فقد يتحول المساعد الذكي إلى مضخّم للسرية.
ومن منظور دفاعي، فإن السؤال المهم ليس ما إذا كانت الميزة مفيدة؛ بل ما إذا كان مسار الإنفاذ محكمًا. فمن المفترض أن تحافظ تسميات الحساسية والهوية والتشفير وDLP على المحتوى المحمي بعيدًا عن الظهور في الإجابات المولَّدة. وتشير ثغرة حرجة في كشف المعلومات إلى أن إحدى هذه البوابات قد تكون قابلة للتجاوز تحت ظروف معينة، حتى لو لم يحدث اختراق أوسع.
ولهذا السبب أيضًا، يجري التعامل مع الهجمات الخاصة بالذكاء الاصطناعي بجدية أكبر من الأخطاء الغريبة أو الجديدة. ففي بعض البيئات، يمكن استخدام المحتوى الذي يسيطر عليه المهاجم لتوجيه النموذج نحو كشف أكثر مما هو مقصود، خاصة عندما يُسمح للمساعد بالاستدلال على صفحات ويب حية أو مواد داخلية. وهذا لا يثبت وجود حقن للمطالبات هنا، لكنه يوضح نوع نموذج التهديد الذي يحتاج المدافعون إلى الاستعداد له.
حتى وقت كتابة هذا التقرير، لم تُثبت المعلومات العامة بالكامل السبب التقني الجذري، ولا النطاق الكامل للمستخدمين المتأثرين، ولا ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق. وتدعم المعلومات المتاحة تحليلًا للمخاطر، لا ادعاءً قاطعًا بسرقة البيانات.
ما الذي ينبغي لفرق الأمن مراقبته
ينبغي للمديرين مراجعة ما إذا كان الوصول إلى سياق الصفحة ضروريًا فعلًا، وتشديد سياسات المتصفح عند الاقتضاء، والتأكد من تفعيل DLP وتسميات الحساسية على المحتوى عالي القيمة. كما أن سجلات التدقيق مهمة أيضًا: فإذا لخّص مساعد ذكي شيئًا لا ينبغي له تلخيصه، فقد تكون السجلات هي الوسيلة الوحيدة لإعادة بناء ما الذي تجاوز الحدّ.
والدرس الأوسع بسيط: تبدأ إخفاقات السرية في الذكاء الاصطناعي غالبًا كإخفاقات في طبقة التحكم. ففي أنظمة المؤسسات الحديثة، قد يكون أخطر خطأ هو ذاك الذي يجعل البيانات الحساسة تبدو عادية.
ويكيكروك
- كشف المعلومات: ضعف يكشف البيانات لشخص لا ينبغي أن يتمكن من رؤيتها.
- منع فقدان البيانات (DLP): ضوابط تكشف البيانات الحساسة وتقيّد مشاركتها أو معالجتها بطرق غير آمنة.
- تصنيف الحساسية: وسم تصنيفي يحدد المحتوى على أنه سري أو مقيّد أو محمي بطرق أخرى.
- حد الثقة: نقطة تنتقل عندها البيانات بين مكونات ذات افتراضات أو أذونات أمنية مختلفة.
- سياق الصفحة: معلومات المتصفح مثل المحتوى أو العنوان أو عنوان URL التي يمكن تمريرها إلى مساعد لتلخيصها.
