عندما يبدأ مركز موثوق للذكاء الاصطناعي في الظهور كأنه حزام ناقل للبرمجيات الخبيثة

ظهر مستودع باسم Open-OSS/privacy-filter لفترة وجيزة بالقرب من أعلى واجهة الترند في Hugging Face بينما أفيد بأنه يحتوي على برمجيات خبيثة لنظام Windows. هذا المزيج يثير القلق لسبب بسيط: ففي منصات التعاون الحديثة، يمكن أن تعمل الرؤية بحد ذاتها كمضاعف قوة للمهاجم.

تكمن أهمية هذه الحالة أقل في كونها عملية رفع واحدة، وأكثر في كونها تذكيرًا بأن مراكز الذكاء الاصطناعي والشفرة هي أيضًا أسطح لسلسلة التوريد. عندما يرى المستخدمون عدد التنزيلات والإعجابات والظهور في الترند، سيفترض كثيرون أن المشروع قد اجتاز اختبارًا أوليًا على الأقل للشرعية. وقد يكون هذا الافتراض خطيرًا عندما يكون الملف في الواقع وسيلة لتسليم أداة سرقة معلومات.

حقائق سريعة

• أُبلغ عن Open-OSS/privacy-filter بوصفه مستودعًا خبيثًا على Hugging Face.
• وُصف الحمولة بأنها سارقة معلومات مبنية بلغة Rust وتستهدف أنظمة Windows.
• وصل المستودع لفترة وجيزة إلى المركز الأول في الترند، وأُفيد بأنه حصد نحو 244,000 تنزيل.
• ارتبطت مئات الإعجابات بالمستودع قبل إزالته.
• توضح Hugging Face فحص البرمجيات الخبيثة لملفات المستودع عند كل عملية commit.

لماذا تنجح الخدعة

المستودعات العامة على Hugging Face هي كائنات مبنية على Git، ما يعني أنها قد تبدو وتتصرف مثل مشاريع برمجية عادية: قابلة للبحث، والتفرع، والتنزيل، والقياس. هذا الشكل المألوف جزء من المشكلة. فالمستودع الخبيث لا يحتاج إلى اختراق نظام إذا استطاع إقناع شخص ما بتنزيل ملف وتشغيله.

صُممت سُراقات المعلومات لسرقة الهوية بدلًا من إحداث تعطيل صاخب. على Windows، غالبًا ما تبحث عن ملفات تعريف ارتباط المتصفح، ورموز الجلسات، وكلمات المرور المحفوظة، وبيانات أخرى يمكن أن تدعم الاستيلاء على الحساب. وفي بعض البيئات، يمكن للبيانات الجلسية المسروقة أن تقلل من قيمة المصادقة متعددة العوامل (MFA) عبر تمكين المهاجم من إعادة تشغيل جلسة متصفح سبق التحقق منها.

تضيف لغة Rust طبقة أخرى من الاحتكاك للمدافعين. فهي ليست مشبوهة بطبيعتها، لكن ثنائيات Rust قد تكون أصعب في الفحص السريع لأنها غالبًا ما تكون مرتبطة بشكل ثابت وتحتوي على شيفرة مكتبات أكثر من برنامج C مكتوب يدويًا. هذا لا يجعل التحليل مستحيلًا؛ لكنه ببساطة يرفع الكلفة والوقت اللازمين لفهم الحمولة.

أما مقاييس الشعبية فهي نصف الخطر الآخر. يمكن للتنزيلات والإعجابات أن تجعل المستودع يبدو راسخًا، ما قد يقلل من شك المستخدم ويزيد احتمال التشغيل أو الدمج. والنقطة الأساسية ليست أن الترتيب وحده يثبت نية خبيثة، بل أن الترتيب يمكن أن يشكل الثقة، والثقة هي بالضبط ما يحاول المهاجمون استغلاله.

توضح Hugging Face ضوابط أمنية مثل فحص البرمجيات الخبيثة، والمصادقة متعددة العوامل، ورموز الوصول، والمستودعات الخاصة. وهذه الضوابط مهمة، لكنها لا تحل محل الحكم البشري. فقد يستضيف منصة خاضعة للمراقبة ملفًا خطيرًا لفترة تكفي لإحداث أثر، خاصة إذا افترض المستخدمون أن الظهور يعني الأمان.

حتى وقت كتابة هذا التقرير، لا تثبت المعلومات العامة بالكامل المسار التقني الذي أدى إلى ارتفاع ظهور المستودع في الترند. والأدلة المتاحة تدعم تحليلًا للمخاطر، لا ادعاءً قاطعًا بشأن كيفية الحصول على الشعبية أو عدد الأشخاص الذين شغّلوا الحمولة.

الخلاصة

الدرس الأعمق غير مريح لكنه واضح: في الجرائم الإلكترونية، أنظمة الاكتشاف جزء من سطح الهجوم. وأي منصة تكافئ الشعبية تخلق أيضًا هدفًا للتلاعب، وأي منظومة لمشاركة الملفات تحمل الشيفرة يمكن إعادة توظيفها كقناة لتوزيع البرمجيات الخبيثة. وبالنسبة للمدافعين، يظل النهج الأكثر أمانًا هو الأقدم: تحقق قبل أن تثق، وتعامل مع السمعة بوصفها قرينة لا دليلًا.

TECHCROOK

مفتاح أمان مادي: يضيف مفتاح الأمان المادي عامل تحقق ثانٍ ملموسًا لتسجيلات الدخول، وهو مفيد لحماية البريد الإلكتروني والسحابة وحسابات المطورين. ومن الأفضل استخدامه مع كلمات مرور قوية ورموز الاسترداد، خاصةً في البيئات التي يثير فيها التصيد الاحتيالي أو سرقة الجلسات القلق.

Scheda Techcrook: Hardware security key

WIKICROOK

• سارق المعلومات: برمجية خبيثة مصممة لسرقة بيانات الاعتماد وملفات تعريف الارتباط وغيرها من البيانات الحساسة من جهاز.
• Rust: لغة برمجة يمكنها إنتاج ثنائيات فعالة وقد تعقد الهندسة العكسية.
• مستودع مبني على Git: حاوية مشروع خاضعة لإدارة الإصدارات تخزن الملفات والسجل والتحديثات مثل مستودع شيفرة.
• ملف تعريف ارتباط الجلسة: رمز متصفح يمكنه إبقاء المستخدم مسجلًا للدخول وقد يُساء استخدامه إذا سُرق.
• فحص البرمجيات الخبيثة: تحليل آلي للملفات يُستخدم لاكتشاف المحتوى الخبيث قبل الرفع أو بعده.