كتب : دينا كمال
ثغرة خطيرة في «جيميني» تضع بيانات المستخدمين في خطر
كشف باحثون في مجال الأمن السيبراني عن استمرار وجود مشكلات تتعلق بالخصوصية في روبوت الدردشة «جيميني» التابع لشركة غوغل، قد تؤدي إلى تسريب بيانات حساسة للمستخدمين.
وأوضح الباحثون أنهم تمكنوا من خداع المساعد الذكي «جيميني» ودفعه إلى مشاركة معلومات خاصة من تقويم المستخدم دون الحصول على إذن صريح.
وأشار التقرير إلى أن الهجوم اعتمد على إرسال دعوة عشوائية عبر تقويم غوغل إلى مستخدم مستهدف، مرفقة برسالة تتضمن أوامر خفية موجّهة إلى «جيميني».
وبيّن الباحثون أن هذه الأوامر أجبرت الروبوت على تنفيذ ثلاث مهام متتالية، تمثلت في تلخيص اجتماعات المستخدم في يوم محدد، ثم إدراج هذه البيانات داخل وصف دعوة تقويم جديدة، وأخيرًا إخفاء هذه الدعوة عن المستخدم نفسه.
وأضافوا أن «جيميني» عند سؤال المستخدم عن جدول مواعيده في ذلك اليوم، أبلغه بأن الوقت المذكور فارغ، رغم أنه كان قد أنشأ دعوة أخرى تحتوي على ملخص اجتماعاته الخاصة.
وأكد الباحثون أن هذه الدعوة الجديدة، التي تضمنت البيانات الحساسة، كانت مرئية فقط للمهاجم، ما سمح له بالاطلاع على معلومات شخصية دون علم الضحية.
وأوضح التقرير أن «جيميني» يتعامل تلقائيًا مع بيانات الأحداث بهدف تحسين تجربة المستخدم، إلا أن هذا السلوك يجعله عرضة للاستغلال من قبل جهات خبيثة.
ويُعرف هذا الأسلوب من الاختراق باسم «الحقن غير المباشر للأوامر»، وهو نوع من الهجمات بدأ يشهد انتشارًا متزايدًا في أنظمة الذكاء الاصطناعي.
وأشار الباحثون إلى أن هذه الثغرات لا تقتصر على «جيميني» فقط، بل يمكن أن تؤثر على مساعدي الذكاء الاصطناعي الآخرين.
ودعوا شركات الذكاء الاصطناعي إلى تطوير آليات أكثر دقة لفهم نية المستخدم الحقيقية قبل تنفيذ الأوامر، بما يسهم في الحد من هذا النوع من الهجمات.
وفي تعليق رسمي، أكد متحدث باسم غوغل أن الشركة تمتلك عددًا من أنظمة الحماية لمواجهة هذا النوع من التهديدات، مشيرًا إلى أن الثغرة المذكورة تم الإبلاغ عنها ومعالجتها.
وأضاف المتحدث أن إسهامات الباحثين تمثل عنصرًا مهمًا في تعزيز مستوى الأمان، مشيدًا بما وصفه بالإفصاح المسؤول عن الثغرات.