تشهد صناعة الذكاء الاصطناعي سباقاً محموماً بين الشركات الرائدة في هذا المجال، حيث تسعى كل منها إلى التفوق والابتكار بسرعة غير مسبوقة. ومع ذلك، يبدو أن هذه السرعة في التطور تأتي على حساب الأمن السيبراني، مما يفتح المجال لثغرات أمنية خطيرة قد تكون لها تداعيات كبيرة.
تسريبات خطيرة في منصات التطوير
كشفت شركة Wiz للأمن السيبراني عن نتائج مقلقة بعد تحليلها لخمسين شركة من كبرى الشركات العاملة في مجال الذكاء الاصطناعي. وجدت أن 65% من هذه الشركات قد قامت بتسريب معلومات حساسة عبر منصات تطوير مثل GitHub. تشمل هذه المعلومات مفاتيح API، ورموز توكن، وبيانات اعتماد حساسة أخرى.
المشكلة تكمن في أن هذه المعلومات غالباً ما تكون مدفونة داخل مستودعات الشيفرات البرمجية التي لا تفحصها الأدوات الأمنية التقليدية، مما يتيح للمهاجمين الوصول إلى نظم البيانات والنماذج الخاصة بهذه الشركات.
أخطاء يمكن تجنبها
وصف جلن مورغان، مدير شركة Salt Security في المملكة المتحدة وإيرلندا، هذا الاتجاه بأنه خطأ يمكن تجنبه بسهولة. وأشار إلى أنه عندما تقوم شركات الذكاء الاصطناعي بالكشف غير المقصود عن مفاتيح API، فإنها تظهر خللاً واضحاً في الحوكمة والأمن.
من خلال إدخال بيانات الاعتماد في مستودعات الشيفرات، تقدم الشركات للمهاجمين تذكرة ذهبية للوصول إلى نظمها، متجاوزة بذلك طبقات الدفاع التقليدية.
الأثر على سلسلة التوريد
تتجاوز المشكلة الفرق الداخلية لتشمل الشركاء والموردين في سلسلة التوريد. مع تزايد اعتماد الشركات على الشركات الناشئة في مجال الذكاء الاصطناعي، قد تجد نفسها ترث نقاط ضعف أمنية غير مرغوب فيها. بعض التسريبات التي تم الكشف عنها قد تكشف عن هيكليات تنظيمية أو بيانات تدريبية أو حتى نماذج خاصة.
التحديات المالية والأمنية
تبلغ القيمة السوقية للشركات التي وجدت لديها تسريبات مؤكدة ما يزيد عن 400 مليار دولار. هذا يبرز مدى أهمية هذه الشركات في الاقتصاد، وما يمكن أن تسببه هذه التسريبات من خسائر مالية جسيمة.
يؤكد التقرير أن الطرق التقليدية في فحص الأمن لم تعد كافية. حيث أن الاعتماد على فحص المستودعات الرئيسية فقط يعد نهجاً محدوداً يفشل في اكتشاف المخاطر الأكثر خطورة.
المنهجيات الحديثة للكشف عن المخاطر
اعتمد الباحثون في Wiz على منهجية ثلاثية الأبعاد للكشف عن المخاطر، تشمل العمق والمحيط والتغطية. هذه المنهجية تتضمن فحص تاريخ الالتزامات الكامل، وسجلات سير العمل، والمستودعات المحذوفة، وهو ما لا تغطيه الأدوات التقليدية.
كما شملت المنهجية فحص الحسابات ذات الصلة بالشركة مثل الأعضاء والمساهمين في المنظمات، إضافة إلى البحث عن أنواع جديدة من البيانات السرية المرتبطة بالذكاء الاصطناعي.
الخاتمة
تظهر نتائج تقرير Wiz الحاجة الملحة لإعادة التفكير في استراتيجيات الأمن السيبراني لشركات الذكاء الاصطناعي. يجب على قادة الأمن في هذه الشركات أن يعتبروا موظفيهم جزءاً من سطح الهجوم ويضعوا سياسات صارمة لفصل الأنشطة الشخصية عن المهنية. كما يتعين على الشركات تحسين آليات الفحص الداخلية لتشمل جميع جوانب منظومة الأمن السيبراني. في عالم يتسارع فيه الابتكار التكنولوجي، يجب ألا يكون الأمن ضحية لهذا السباق.