الرئيسية تقنية ثغرة في Microsoft 365 Copilot تفتح باب سرقة رسائل البريد الإلكتروني للمهاجمين

ثغرة في Microsoft 365 Copilot تفتح باب سرقة رسائل البريد الإلكتروني للمهاجمين

محمد عرفاني Updated on تصنيف تقنية

أداة مايكروسوفت 365 كوبايلوت تعرضت لثغرة أمنية حساسة سمحت بسرقة بيانات سرية من بيئات العمل، وذلك عبر استغلال تعليمات مخفية باستخدام نص أبيض على خلفية بيضاء. هذا الاستغلال الذكي حول الرسومات في كوبايلوت إلى قنوات تسريب مخفية للمعلومات بنقرة زر واحدة، مما دفع مايكروسوفت لتعطيل التفاعلات القابلة للنقر، لكن تبقى أسئلة الأمن السيبراني عن استخدام الذكاء الاصطناعي في المؤسسات قائمة، خصوصًا لما يكشفه الحادث من نقاط ضعف في الأنظمة الذكية.

كيف استُغلت أداة مايكروسوفت 365 كوبايلوت عبر التعليمات المخفية؟

تقول التفاصيل إن أداة مايكروسوفت 365 كوبايلوت تعرضت لثغرة غير تقليدية لم تعتمد على الاختراق البرمجي المباشر، بل اعتمدت على خداع لغوي موجه للذكاء الاصطناعي نفسه؛ حيث أخفى المهاجمون تعليمات خبيثة داخل مستندات أوفيس باستخدام نص أبيض على خلفية بيضاء، ما يجعلها غير مرئية للمستخدم العادي لكنها تُفهم بوضوح من قبل كوبايلوت. وبمجرد أن يطلب الموظف تلخيص المحتوى، تتحول الأداة إلى منفذ ينفذ أوامر خفية غير مرئية. تكشف هذه التقنية عن مدى تعقيد واستغلال الذكاء الاصطناعي في بيئات العمل.

تحويل الرسومات في مايكروسوفت 365 كوبايلوت إلى قنوات تسريب خفية للمعلومات

من أبرز تقنيات الهجوم استخدام خاصية إنشاء الرسومات في كوبايلوت عن طريق لغة Mermaid، وهي أداة مدمجة لتوليد المخططات المرئية. استغل المهاجمون هذه الخاصية ليحولوا الرسومات إلى واجهات مزيفة تحتوي على أزرار مخفية تحمل بيانات مسروقة مشفرة بصيغ سداسية مأخوذة من رسائل البريد الإلكتروني. وعند نقر المستخدم على زر في الرسم البياني، تنتقل هذه البيانات تلقائيًا إلى خوادم يسيطر عليها المهاجمون، مما يجعل الرسومات وسيلة سرقة فعالة ومبتكرة داخل بيئات العمل.

  • تعليمات مخفية لا يراها المستخدم
  • تحويل الرسومات إلى واجهات سرية
  • تسريب البيانات بضغطة زر
  • سرية وتشفير البيانات المسروقة

تداعيات الثغرة على الثقة في أمان الذكاء الاصطناعي المؤسسي

كشفت ثغرة مايكروسوفت 365 كوبايلوت عن تحول في طبيعة التهديدات السيبرانية، حيث لم تعد على شكل برمجيات خبيثة تقليدية فقط، بل أصبحت الذكاء الاصطناعي نفسه هدفًا للتلاعب والخداع. الدمج الواسع لنماذج اللغة العملاقة في المؤسسات يؤسس لساحة جديدة من التساؤلات حول خصوصية البيانات، ومدى فهم الذكاء الاصطناعي لأوامره ومصادره، ومدى قدرته على التمييز بين السياقات الآمنة والضارة. رغم أن الرد الفوري من مايكروسوفت شمل تعطيل التفاعلات القابلة للنقر في الرسومات، فإن المعضلة الحقيقية تكمن في كيفية تدريب أنظمة الذكاء الاصطناعي لتجاهل الأوامر المخفية والابتعاد عن الوقوع في فخ التلاعب اللغوي، وهو تحدٍ يتعدى الجانب التقني ليصل إلى فلسفة التصميم الأمني لهذه الأنظمة بالمؤسسات.

الإجراءالوصف
تعطيل التفاعلات القابلة للنقرإيقاف قنوات التسريب عبر الضغط على الأزرار في الرسومات
تحديثات تدريبيةتطوير نماذج الذكاء الاصطناعي لتجنب تنفيذ الأوامر الخفية
مراجعة أمان المحتوىتحليل المحتوى النصي والرسومي لاكتشاف محاولات الحقن اللغوي

تضع هذه الحادثة الذكاء الاصطناعي في قلب النقاش الأمني المؤسسي، حيث يصبح فهم طبيعة هذه الأنظمة وحدود قابليتها للتلاعب أمرًا ملحًا، خاصة مع توسع عمليات التكامل والتفاعل التي تقدمها في بيئة العمل. فالثقة في هذه التقنيات تفوق قوتها الحسابية، إذ تظل هشّة أمام أساليب التلاعب الدقيقة التي قد تنبع من أوامر مخفية لا يلاحظها المستخدم، لكنها كفيلة بإحداث خروقات ضخمة في خصوصية وأمان البيانات المؤسسية.

عن الكاتب
محمد عرفاني

محمد عرفاني أحد أعضاء فريق مصر بوست المتميزين، يقدم تغطية شاملة لمختلف الموضوعات الإخبارية، ويحرص على نقل التفاصيل وتحليل الأحداث بموضوعية ووضوح. كتاباته تعكس اهتمامه بفهم خلفيات الأحداث وتقديم محتوى يساعد القارئ على تكوين رؤية واضحة حول المستجدات.