Now Reading: إضافات المتصفح: قناة استهلاك الذكاء الاصطناعي التي لا يحميها أحد
-
01
إضافات المتصفح: قناة استهلاك الذكاء الاصطناعي التي لا يحميها أحد
إضافات المتصفح: قناة استهلاك الذكاء الاصطناعي التي لا يحميها أحد
A new report from LayerX reveals that AI-powered browser extensions represent one of the most dangerous and overlooked cybersecurity threat surfaces in enterprise environments. With excessive permissions, near-zero visibility, and rampant user-driven adoption, these tools create a data exfiltration channel that traditional security solutions simply don't cover.
سطح التهديد الناتج عن الذكاء الاصطناعي المختبئ في وضح النهار
أمضت فرق أمن المؤسسات العامين الماضيين في سباق محموم لتقييد استخدام الذكاء الاصطناعي التوليدي في جميع أنحاء مؤسساتها. وقد وضعت هذه الفرق سياسات خاصة بـ ChatGPT، وقيدت الوصول إلى أدوات الذكاء الاصطناعي غير المصرح بها، ونشرت حلول مراقبة لمنصات الذكاء الاصطناعي التوليدي غير المعتمدة. ولكن وفقًا لتقرير جديد يكشف عن ثغرة كبيرة في وضع أمن الذكاء الاصطناعي لدى جميع المؤسسات تقريبًا، وهذه الثغرة تكمن داخل المتصفح نفسه.
أصبحت إضافات المتصفح المدعومة بالذكاء الاصطناعي بهدوء واحدة من أسرع قنوات استهلاك الذكاء الاصطناعي نموًا، ولا يكاد أحد في مجتمع الأمن يتعامل معها بالسرعة التي تستحقها.
ما كشفه تقرير LayerX
يرسم بحث شركة LayerX صورةً مقلقة. فقد حللت الشركة النظام البيئي الواسع لإضافات المتصفح التي تتضمن الآن قدرات الذكاء الاصطناعي، بدءًا من مساعدي الكتابة وأدوات التلخيص وصولًا إلى مساعدي البرمجة ومحرري رسائل البريد الإلكتروني. ووجدت أن هذه الإضافات غالبًا ما تعمل بصلاحيات واسعة للغاية، ما يتيح لها الوصول إلى بيانات حساسة تتدفق عبر متصفحات الموظفين يوميًا.
تشمل النتائج الرئيسية ما يلي:
- تُعد الأذونات المفرطة هي القاعدة: تطلب العديد من ملحقات الذكاء الاصطناعي الوصول إلى سجل التصفح ومحتوى الصفحة وملفات تعريف الارتباط وحتى بيانات الحافظة - وهو ما يتجاوز بكثير ما تتطلبه وظائفها المعلنة.
- تكاد الرؤية تكون معدومة: فنادراً ما تقوم أدوات أمان نقاط النهاية التقليدية وحلول CASB بفحص أو جرد ملحقات المتصفح، مما يخلق نقطة عمياء حقيقية لفرق عمليات الأمان.
- إن عملية التبني مدفوعة بالموظفين: على عكس أدوات SaaS المعتمدة، يتم تثبيت معظم ملحقات الذكاء الاصطناعي بواسطة المستخدمين الأفراد دون أي مراجعة أو عملية موافقة من قسم تكنولوجيا المعلومات.
- إن خطر تسريب البيانات حقيقي: يمكن للإضافات التي تتمتع بإمكانية الوصول إلى محتوى الصفحة أن تقرأ وتنقل المعلومات الحساسة للشركات - رسائل البريد الإلكتروني والمستندات الداخلية والبيانات المالية - بصمت إلى خوادم خارجية.
باختصار، كل إضافة متصفح تعمل بالذكاء الاصطناعي وتتمتع بصلاحيات واسعة النطاق تُعدّ بمثابة قناة بيانات مصغّرة تربط بيئة شركتك بطرف ثالث مجهول. لفهم أعمق لكيفية إدارة المؤسسات لهذه المخاطر، اطلع على تغطيتنا لمقال "كيلوكلو تستهدف الذكاء الاصطناعي الخفي: ترويض مخاطر الذكاء الاصطناعي غير المصرح بها" .
لماذا يُعدّ هذا الأمر أكثر أهمية مما يدركه معظم الناس؟
يعود السبب في عدم رصد هذه القناة الاستهلاكية تحديدًا إلى عوامل هيكلية جزئيًا. إذ تشغل إضافات المتصفح موقعًا وسيطًا غير واضح بين برامج نقاط النهاية وتطبيقات الويب. فهي ليست ملفات تنفيذية تُشير إليها أدوات الكشف والاستجابة لنقاط النهاية (EDR) عادةً، وليست خدمات سحابية تراقبها وسطاء أمان الوصول إلى السحابة . إنها موجودة في منطقة ضبابية من حيث الحوكمة.
ويتسع نطاق المشكلة بسرعة. فمتجر Chrome الإلكتروني وحده يستضيف مئات الآلاف من الإضافات، وقد ازداد عدد الإضافات المدعومة بالذكاء الاصطناعي بشكل كبير منذ أوائل عام 2023. والعديد من هذه الأدوات تم تطويرها من قبل مطورين صغار أو جهات غير معروفة لا تملك ممارسات أمنية منشورة، ولا شهادات SOC 2، ولا اتفاقيات لمعالجة البيانات.
تخيّل ما يحدث عندما يقوم محلل تسويق بتثبيت إضافة ذكاء اصطناعي لتلخيص البيانات بهدف تسريع عملية البحث. قد تحتاج هذه الإضافة إلى قراءة المحتوى الكامل لكل صفحة ويب، بما في ذلك لوحات المعلومات الداخلية، وسجلات إدارة علاقات العملاء المعروضة في علامة تبويب المتصفح، أو وثائق الاستراتيجية السرية المُشاركة عبر مستندات جوجل. ولا يشترط حتى أن تغادر البيانات المتصفح بطريقة خبيثة واضحة؛ إذ يمكن تجميعها في بيانات "تحليلات الاستخدام" أو "تحسين النموذج" وإرسالها خلسةً.
السياق الأوسع: اتساع نطاق هجمات الذكاء الاصطناعي
يأتي هذا الكشف في سياق اتجاه أوسع يحذر منه خبراء الأمن السيبراني منذ بداية طفرة الذكاء الاصطناعي التوليدي. وكما وثّقت مجلة Wired وغيرها من المنشورات الكبرى، فإن كل نقطة دمج جديدة للذكاء الاصطناعي تخلق ثغرة أمنية محتملة. فمن هجمات الحقن الفوري ضد نماذج اللغة الضخمة إلى تسميم البيانات في مسارات التدريب، يزداد مشهد التهديدات تعقيدًا مع كل ربع سنة يمر.
تُمثل إضافات المتصفح وسيلةً بالغة الخطورة، إذ تجمع بين ثلاث خصائص تُثير قلق فرق الأمن السيبراني: صلاحيات عالية، ومستوى رؤية منخفض، واعتمادها من قِبل المستخدمين. هذه الخصائص الثلاث تجعل السيطرة عليها باستخدام الأدوات التقليدية وحدها شبه مستحيلة.
أشار محللو الصناعة إلى أوجه تشابه مع بدايات انتشار البرمجيات كخدمة (SaaS)، عندما كان الموظفون يتبنون أدوات الحوسبة السحابية بوتيرة أسرع من قدرة أقسام تقنية المعلومات على تتبعها. ويكمن الاختلاف الآن في أن تطبيقات الذكاء الاصطناعي لا تكتفي بتخزين البيانات خارجيًا، بل تعالجها بنشاط وتتعلم منها. وتُعدّ التداعيات على حماية الملكية الفكرية والامتثال التنظيمي هائلة، لا سيما بالنسبة للمؤسسات الخاضعة للوائح حماية البيانات العامة (GDPR) وقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) أو لوائح الخدمات المالية.
ما الذي يجب على قادة الأمن فعله الآن؟
الخبر السار هو أن هذه المشكلة، على الرغم من خطورتها، قابلة للحل. يمكن للمؤسسات التي تتحرك بسرعة أن تستبقها قبل أن يُجبرها اختراق كبير على اتخاذ إجراءات حاسمة. إليكم إطار عمل عملي للبدء:
- قم بمراجعة شاملة لإضافات المتصفح لديك فورًا. استخدم أدوات إدارة المتصفح (مثل Chrome Enterprise وسياسات إدارة Edge) لحصر جميع الإضافات المثبتة لدى موظفيك. حدد الإضافات التي تتضمن إمكانيات الذكاء الاصطناعي والصلاحيات الممنوحة لها.
- طبّق سياسة قائمة السماح. انتقل من نموذج مفتوح يسمح لأي شخص بتثبيت أي شيء إلى نموذج مُنتقى لا يسمح إلا بالإضافات المعتمدة. هذه هي الخطوة الأكثر تأثيرًا التي يمكنك اتخاذها.
- صنّف الإضافات حسب مستوى خطورتها. فليست جميع إضافات الذكاء الاصطناعي متساوية في الخطورة. فالإضافة التي تُعدّل مظهر صفحة الويب فقط تختلف تمامًا عن تلك التي تقرأ محتوى الصفحة بالكامل. أعطِ الأولوية للمراجعة بناءً على نطاق الصلاحيات.
- ثقّف موظفيك. معظم الموظفين يستخدمون هذه الأدوات لزيادة إنتاجيتهم، وليس لخلق مخاطر. ركّز الحوار على حماية بيانات الشركة وبيانات الموظفين أنفسهم.
- راقب تدفقات البيانات الشاذة. انشر نظام مراقبة على مستوى الشبكة لاكتشاف أنماط حركة البيانات الصادرة غير المعتادة التي قد تشير إلى تسريب البيانات عبر الامتدادات.
للحصول على استراتيجيات إضافية حول تأمين محيطك الرقمي، اطلع على توصياتنا بشأن تحديات حوكمة الذكاء الاصطناعي الوكيل بموجب قانون الذكاء الاصطناعي للاتحاد الأوروبي لعام 2026 .
ماذا بعد؟
من المتوقع أن يتسارع هذا النقاش بشكل ملحوظ خلال الأشهر القادمة. فمع ازدياد إدراك المؤسسات لمدى اعتمادها لإضافات الذكاء الاصطناعي في بيئاتها، سيرتفع استثمار الموردين في أدوات التحكم الأمنية على مستوى المتصفح. وتضع LayerX نفسها بقوة في هذا المجال، ولكن من المتوقع أن يلحق بها المنافسون سريعًا.
من المرجح أن تنتبه الهيئات التنظيمية أيضًا. ينص قانون الذكاء الاصطناعي للاتحاد الأوروبي بالفعل على أطر عمل قائمة على المخاطر لأنظمة الذكاء الاصطناعي، وليس إلا مسألة وقت قبل أن تخضع أدوات الذكاء الاصطناعي المستندة إلى المتصفح للتدقيق. في الولايات المتحدة، ركزت وكالات مثل وكالة الأمن السيبراني وأمن البنية التحتية (CISA) بشكل متزايد على مخاطر سلسلة توريد البرمجيات، وتُعدّ الإضافات في جوهرها مشكلة في سلسلة التوريد.
تكمن المشكلة الأعمق في الجانب الثقافي. فقد انصبّ تركيز مجتمع الأمن السيبراني على المخاطر البارزة لنماذج اللغة الضخمة ومنصات الذكاء الاصطناعي المؤسسية، ما أدى إلى نمو تهديد أكثر هدوءًا، وربما أكثر إلحاحًا، دون رادع. تمثل إضافات متصفحات الذكاء الاصطناعي قناة استهلاك تجمع بين سهولة الوصول، والقدرات الفائقة، والحد الأدنى من الرقابة - وهو بالضبط المزيج الذي يُفضّله الخصوم لاستغلاله.
الخلاصة
إذا لم تتضمن استراتيجية أمن الذكاء الاصطناعي في مؤسستك خطة محددة لإضافات المتصفح، فأنت تعاني من ثغرة أمنية واضحة. هذه الأدوات مثبتة بالفعل على أجهزة موظفيك، وتقرأ البيانات الحساسة، وتنقل المعلومات إلى خوادم لم تقم بتقييمها. حان الوقت لمعالجة هذه الثغرة الأمنية، ليس في الربع القادم أو دورة الميزانية التالية، بل الآن.
الشركات التي تولي حوكمة امتدادات الذكاء الاصطناعي أولوية اليوم هي التي ستتجنب الكشف عن الاختراقات الأمنية المؤلمة غداً. أما البقية فسيتعلمون هذا الدرس بالطريقة الصعبة.
Previous Post
Next Post
Advertisement
