تخيل هذا: أنك تطلب من ChatGPT المساعدة في شيء لا تريد حقًا أن يراه أي شخص آخر. ربما يكون تقرير مختبر مكتوب عليه اسمك. ربما تكون رسالة استقالة لم ترسلها بعد. ربما يكون عقدًا أو جدول بيانات ماليًا أو رسالة خاصة تحاول صياغتها بعناية.
تفترض أن هذا الافتراض يبقى بينك وبين “مساعدك الشخصي” حتى توافق على إرساله إلى مكان آخر، لكن البحث الذي أجرته شركة الأمن السيبراني الإسرائيلية تشيك بوينت يقول إن هذا الافتراض ربما لم يكن صائبا دائما.
وجدت الشركة نقطة ضعف في نظام ChatGPT قد تسمح لأي شخص باستخراج البيانات دون إثارة أي إنذارات. وفقًا لـ Check Point Software Technologies، هناك ثغرة صغيرة في الكود يمكن استخدامها لنقل البيانات دون إطلاق تحذيرات التنبيه المعتادة.
قالت OpenAI في أواخر عام 2025 إنها تخدم أكثر من 800 مليون مستخدم أسبوعيًا، ووجد بحث منفصل لـ OpenAI أن المستخدمين كانوا يرسلون بالفعل حوالي 18 مليار رسالة أسبوعيًا بحلول يوليو 2025. ولا يستخدمها الناس فقط للنكات أو الفضول. فهم يستخدمونها لمراجعة جداول البيانات، وتلخيص العقود، وصياغة رسائل البريد الإلكتروني، وكتابة التعليمات البرمجية، وصقل العروض التقديمية، وفهم اللغة الطبية أو المالية التي يمكن أن تكون مرهقة في حد ذاتها.
نحن لا نتحدث فقط عن برنامج الدردشة الآلي الذي يستخدمه الناس للمتعة بين الحين والآخر. هذا هو النظام الذي يستخدمه العديد من الأشخاص كمساعد في عملهم، وشريك في الكتابة، وأداة للبحث، وأحيانًا كشخص للتحدث معه حول القرارات الشخصية. إذا كان هناك خلل خفي في نظام مثل هذا، فهذه ليست مجرد مشكلة في التكنولوجيا. إنها مشكلة في الثقة.
وقالت Check Point إن الخلل كان موجودًا داخل وقت التشغيل الذي يستخدمه ChatGPT لتحليل البيانات والمهام المستندة إلى Python. يمكنك اعتبار وقت التشغيل هذا بمثابة مساحة عمل مغلقة داخل المنتج، وهو مكان يمكن من خلاله معالجة الملفات وتشغيل التعليمات البرمجية دون الوصول بحرية إلى الإنترنت على نطاق أوسع. وفقًا للبحث، تم حظر حركة مرور الويب الصادرة العادية، ولكن ظلت وظيفة خلفية واحدة متاحة: تحليل نظام اسم المجال (DNS)، وهو النظام الذي تستخدمه أجهزة الكمبيوتر للعثور على مواقع الويب.
كانت تلك الوظيفة الصغيرة هي كل ما هو مطلوب. ومن خلال الاستفادة من نقطة الضعف في DNS، يمكن للمهاجمين إنشاء طريقة سرية لنقل المعلومات خارج المنطقة الآمنة.
وهذا ما يسمى “نفق DNS”، ولكنه ليس معقدًا كما يبدو. في الأساس، بدلاً من إرسال البيانات عبر حركة المرور العادية على الإنترنت، يقوم المهاجم بإخفاء أجزاء صغيرة منها داخل ما يبدو وكأنه طلب عادي للبحث عن موقع ويب. إنه مثل تسلل رسالة صغيرة داخل طرد يبدو غير ضار. يمكن للمهاجم بعد ذلك استخدام هذا النفق السري لنقل المعلومات ببطء خارج البيئة، دون أن يتم اكتشافه.
لدى ChatGPT طرق معتمدة للاتصال بالخدمات الخارجية. على سبيل المثال، من المفترض أن تكون إجراءات GPT مرئية وتتطلب موافقة المستخدم قبل إرسال البيانات إلى مكان آخر. وقالت Check Point إن الخلل الذي وجدته تجاوز هذا النموذج، لأن المساعد تصرف كما لو أن بيئة تنفيذ التعليمات البرمجية لا يمكنها إرسال البيانات إلى الخارج مباشرة. بمعنى آخر، لم يتعرف النظام على النشاط باعتباره نقلًا خارجيًا يجب حظره أو إظهاره للمستخدم.
كيف يمكن أن يعمل التسرب المحتمل
وقالت Check Point إن الهجوم يمكن أن يبدأ بشيء عادي مثل المطالبة، وهي التعليمات النصية التي يلصقها المستخدم في ChatGPT.
أصبحت المشاركة السريعة اتجاهًا شائعًا. يقوم الأشخاص بنسخ المطالبات من منشورات LinkedIn وسلاسل Reddit والنشرات الإخبارية والمنتديات ومجموعات Slack وقوائم “أفضل المطالبات” كل يوم. في معظم الأحيان، لا يتوقفون عن التساؤل من أين جاء هذا النص بالفعل.
وهذا أعطى المهاجمين تمويهًا طبيعيًا. يمكن تأطير المطالبة الضارة كاختصار للكتابة، أو خدعة إنتاجية، أو حتى اختراق للحصول على سلوك متميز. ولنكن صادقين، العديد من المطالبات المشروعة تبدو غريبة بالفعل. إنها طويلة ومفصلة بشكل مفرط ومليئة بالتعليمات الثقيلة. لذا، إذا ظهرت مطالبة أخرى ذات مظهر غريب في خلاصتك، فمن المحتمل أنك لن تفكر مرتين.
بمجرد ظهور هذه المطالبة، قالت Check Point إن الرسائل اللاحقة في المحادثة مع ChatGPT يمكن أن تصبح مصدرًا للمعلومات المسربة. يمكن أن يشمل ذلك ما كتبته، والنص المأخوذ من الملفات التي تم تحميلها، والأهم من ذلك، ملخصات النموذج واستنتاجاته.
على الرغم من أن الكشف عن ملفاتك الشخصية يمثل مشكلة كبيرة، إلا أن الوصول إلى ملخصات النموذج يمثل في الواقع مشكلة أكبر. قد لا يهتم المهاجم بعقد أولي مكون من 30 صفحة إذا كان النموذج يمكنه تلخيصه في البنود الأربعة المهمة بالفعل. قد لا يريدون التقرير الطبي الكامل إذا كان ChatGPT قد لخص بالفعل التشخيص المحتمل والأعلام الحمراء والخطوة التالية. وقد لا يحتاجون إلى جدول البيانات ربع السنوي بأكمله إذا كان النظام ينتج فقرة مرتبة تشرح المخاطر المالية.
وبهذا المعنى، يصف البحث شيئًا أكثر خطورة من مجرد سرقة المستندات. فهو يصف السرقة المحتملة للرؤية الأكثر فائدة داخل المستند.
إذا قرأ نظام ذكاء اصطناعي موثوق به شيئًا حساسًا، وحوله إلى شيء موجز وقيم، وأرسل تلك النتيجة بهدوء إلى مكان آخر، فقد يكون الضرر أسوأ مما لو تسرب الملف الأصلي من تلقاء نفسه.
كيف يؤثر هذا على المستخدمين العاديين؟
صدر تقرير Check Point في وقت يستخدم فيه الأشخاص أدوات الذكاء الاصطناعي لأكثر بكثير من مجرد الأسئلة غير الرسمية. قال بحث OpenAI الخاص إن حوالي 30% من استخدام ChatGPT للمستهلكين مرتبط بالعمل، في حين أن معظم المحادثات، بشكل عام، تركز على التوجيه العملي والمعلومات والكتابة. وهذا يعني أن الملايين من المستخدمين يقومون بتغذية هذه الأنظمة بمواد حساسة تجاريًا أو تحدد هويتهم الشخصية أو ببساطة خاصة.
تطبيقات العالم الحقيقي لا حصر لها. يقوم المحامي بتحميل مسودة الاتفاقية. مؤسس شركة ناشئة يلصق مذكرة لجمع التبرعات. يطلب المدير المساعدة في إعادة كتابة مراجعة الأداء. يريد أحد الوالدين المساعدة في فهم فحص دم الطفل. يسقط الطالب في مقال منحة دراسية يتضمن تفاصيل شخصية. يطلب أحد الباحثين عن عمل من ChatGPT تحسين خطاب التقديم الذي يذكر صاحب العمل الحالي. لا يعتقد أي من هؤلاء الأشخاص أنهم يخاطرون بالأمن السيبراني. يعتقدون أنهم يحصلون على المساعدة فقط.
ولهذا السبب فإن هذا النوع من الضعف مقلق للغاية. هل يمكن لمعظم المستخدمين اكتشاف هجوم كهذا أثناء حدوثه؟ ربما لا. إذا كانت الإجابات لا تزال مصقولة، ولا تزال المحادثة تبدو طبيعية، ولا يوجد أي تحذير على الشاشة، فليس لديك سبب كبير للاعتقاد بأن هناك خطأ ما.
تزيد نقاط GPT المخصصة من خطر الهجمات غير المكتشفة
وقالت Check Point إن الخطر أصبح أكثر خطورة عندما تم تضمين نفس السلوك في GPT مخصص. في هذا السيناريو، لن يحتاج المهاجم إلى إقناع شخص ما بلصق مطالبة مشبوهة في محادثة عادية على الإطلاق. ومن الممكن أن يكون هذا السلوك الخبيث مدمجًا في تعليمات أو ملفات GPT المتخصصة، بينما يعتقد المستخدم أنه يفتح ببساطة أداة مصممة لغرض محدد.
غالبًا ما تكون GPTs المخصصة عبارة عن روبوتات محددة مسبقًا يتم تسويقها حول الراحة والخبرة: الصياغة القانونية، وخطط التسويق، والإعداد للمقابلة، وإعداد الميزانية، ودعم العملاء، والمساعدة الدراسية، والتوجيه الصحي. التخصص يجعلهم يشعرون بأمان أكبر، وليس أكثر خطورة. إذا كان هناك شيء يبدو وكأنه مساعد مصمم خصيصًا لهذا الغرض، فمن المرجح أن يثق به العديد من المستخدمين، وليس أقل. تتم أيضًا برمجة GPTs المخصصة خصيصًا لإنتاج نتائج معينة سيكون المستخدمون الذين لديهم استفسارات مماثلة راضين عنها، لذلك بالنسبة للعديد من هذه الطلبات، من المثير جدًا البحث عن GPT محدد بدلاً من سؤال برنامج الدردشة الآلي العام.
لتوضيح هذه النقطة، قامت شركة Check Point بمحاكاة إثبات المفهوم الذي يتضمن “طبيبًا شخصيًا” GPT. في العرض التوضيحي، قام أحد المستخدمين بتحميل نتائج معملية تحتوي على معلومات تعريفية وطلب من النظام تفسير الأعراض والنتائج الطبية. من وجهة نظر المستخدم، بدا كل شيء طبيعيا. استجابت GPT كما هو متوقع، حتى أن المساعد قال، بعد سؤاله، إن البيانات التي تم تحميلها لم يتم إرسالها إلى أي مكان.
ومع ذلك، خلف الكواليس، قالت Check Point إن خادم المهاجم حصل على هوية المريض من الملف والتقييم الطبي للنموذج. لم تظهر أي مطالبة بالموافقة. لم تكن هناك إشارة مرئية تُعلم المستخدم بمغادرة أي بيانات للجلسة.
من التسرب الهادئ إلى الوصول عن بعد
وقالت Check Point إن نفس القناة السرية يمكن استخدامها أيضًا لشيء أكثر عدوانية من سرقة البيانات. بمجرد وجود مسار ثنائي الاتجاه بين وقت التشغيل والخادم الذي يتحكم فيه المهاجم، قال الباحثون إنه يمكن استخدامه لإرسال الأوامر إلى حاوية Linux المستخدمة لتنفيذ التعليمات البرمجية وتلقي النتائج مرة أخرى من خلال نفس المسار. في الواقع، قالت الشركة، إن ذلك يرقى إلى مستوى الوصول عن بعد إلى shell أثناء وقت التشغيل.
وببساطة، فإن هذا يعني أن المهاجم لم يكن يستخرج المعلومات فحسب. من المحتمل أن يعملوا داخل البيئة التي كان يقوم فيها ChatGPT بمهام التحليل. ولأن هذه الأوامر لن تحتاج إلى الظهور في المحادثة المرئية، فقد يتم النشاط خارج تدفق الدردشة العادي وخارج نطاق إجراءات الحماية المعتادة للمساعد.
قالت Check Point إنها كشفت عن المشكلة لـ OpenAI، التي أكدت أنها حددت بالفعل المشكلة الأساسية داخليًا ونشرت إصلاحًا كاملاً في 20 فبراير 2026. وهذا يقلل من المخاطر المباشرة، لكنه لا يمحو الدرس الأوسع، ولا يشير إلى عدد الجهات الفاعلة السيئة التي وجدت هذا الاستغلال قبل حله.
لم يعد مساعدو الذكاء الاصطناعي مجرد نوافذ للدردشة. لقد أصبحت بيئات عمل، وأماكن حيث نقوم بتحميل الملفات، وتشغيل التعليمات البرمجية، وتحليل السجلات، وتوليد استنتاجات عالية القيمة من المواد الحساسة.
استخدمت دراسة Check Point فقط ChatGPT؛ ومع ذلك، فهي تقول إن النتائج لا تستدعي إجراء دراسات حالة منفصلة لكلود أو جيميني، ولكنها تدعو إلى اتباع نهج عملي ومراقبة أكثر لأمن الذكاء الاصطناعي في جميع المجالات.
وفي الوقت نفسه، ومع استمرار هذا التطور، يتغير السؤال الأمني أيضًا. لم يعد الأمر يتعلق فقط بما إذا كان النموذج يقدم إجابة مفيدة أم لا. يتعلق الأمر بما إذا كان من الممكن الوثوق بالبنية التحتية غير المرئية الموجودة ضمن هذه الإجابة.
في الوقت الحالي، لا يحتاج المرء إلى التوقف عن استخدام الذكاء الاصطناعي بالكامل، ولكن فكر مرتين، وأعد النظر في أن “مساعدك الشخصي” ربما يتواصل مع شخص آخر.
عندما تقوم بتسليم معلومات خاصة إلى نظام الذكاء الاصطناعي، فإنك تفترض أن الجدران المحيطة بهذا النظام صلبة. والحقيقة هي أن تلك الجدران قد تعتمد على طبقات تقنية لن يراها معظمنا أبدًا، وربما لن نفكر في التشكيك فيها حتى يحدث خطأ ما.
