ثغرة أمنية في “OpenAI Codex” تهدد أمان أدوات الذكاء الاصطناعي
ثغرة أمنية في أداة OpenAI Codex تهدد سرية أكواد GitHub
كشف تقرير أمني حديث عن ثغرة خطيرة في أداة الذكاء الاصطناعي “OpenAI Codex” مكّنت من استخراج رموز مصادقة حساسة من منصة GitHub، مما يعرّض مستودعات كود المصدر الخاصة للخطر، ويُسلّط الضوء على المخاطر المتصاعدة لأدوات الذكاء الاصطناعي العاملة داخل بيئات التطوير الحساسة.
كيفية عمل الهجوم
تمكن الباحثون في شركة BeyondTrust من استغلال خلل في معالجة أسماء الفروع (Branch Names) داخل بيئة Codex التنفيذية، حيث سمح هذا القصور بحقن أوامر خبيثة، وتم تنفيذ هذه الأوامر داخل الحاوية (Container) التي تعمل بها الأداة في محاولة للوصول إلى رموز OAuth المرتبطة بمستودعات GitHub.
خطورة رموز الوصول المسربة
تمثل رموز OAuth المسربة خطراً كبيراً، فهي مفاتيح وصول عالية الحساسية قد تمنح المهاجمين صلاحيات للوصول إلى مستودعات كود خاصة، أو حتى اختراق أنظمة التكامل والتسليم المستمر (CI/CD)، مما قد يمهد لعمليات اختراق أوسع داخل البنية التحتية التقنية للشركة.
تأتي هذه الحادثة في وقت تتحول فيه أدوات الذكاء الاصطناعي المساعدة للمبرمجين، مثل Codex، إلى وكلاء ذاتية التنفيذ قادرة على التفاعل المباشر مع الأنظمة والبنى التحتية الحقيقية، مما يرفع سقف التهديدات الأمنية لأي ثغرة ولو كانت بسيطة.
أساليب متطورة لإخفاء الهجوم
أظهر التقرير تطور أساليب الهجوم، حيث تمكن الباحثون من إخفاء الأوامر الخبيثة باستخدام محارف (Characters) خاصة تجعلها شبه غير مرئية للمراجعة البشرية، وهو أسلوب يجمع بين الخداع التقني ومبادئ الهندسة الاجتماعية لتفادي الاكتشاف.
الإصلاحات والتوصيات الأمنية
تم إصلاح الثغرة بسرعة بعد الإبلاغ عنها، لكن الحادثة تترك دروساً أمنية مهمة، أبرزها الحاجة الملحة لتضييق نطاق صلاحيات رموز الوصول (Tokens) الممنوحة لأي أداة، وتعزيز مبدأ العزل الأمني بين المكونات، والتعامل مع أدوات الذكاء الاصطناعي العاملة على الأنظمة باعتبارها كيانات تمتلك أذونات فعلية يجب مراقبتها وتقييدها بدقة.
يؤكد هذا الاختراق أن دمج أدوات الذكاء الاصطناعي في سلسلة التطوير يوسع من سطح الهجوم بشكل كبير، مما يتطلب إعادة نظر جذرية في نماذج الأمان والصلاحيات الممنوحة لهذه الأدوات الذكية التي أصبحت قادرة على تنفيذ إجراءات فعلية قد تكون مدمرة إذا تم اختراقها.
التعليقات