خلل HTML الوكيل من مايكروسوفت يسرب كلمات المرور ومفاتيح الذكاء الاصطناعي، يكتشفه باحث

التكنولوجيا اليومية

التكنولوجيا اليومية

·

08/08/2025

button icon
ADVERTISEMENT

تم اكتشاف ثغرة أمنية كبيرة في HTML الوكيل (agentic HTML) من Microsoft، وهي تقنية مصممة للسماح لوكلاء الذكاء الاصطناعي بالتفاعل مع مواقع الويب نيابة عن المستخدمين. اكتشف الباحث أونان غوان عيبًا يمكن أن يمكّن المهاجمين عن بُعد من الوصول إلى الملفات الحساسة، بما في ذلك كلمات مرور النظام ومفاتيح واجهة برمجة تطبيقات الذكاء الاصطناعي (API keys)، مما قد يؤدي إلى استخدام غير مصرح به لخدمات الذكاء الاصطناعي.

الكشف عن ثغرة أمنية في HTML الوكيل

تم تقديم HTML الوكيل من Microsoft، المعروف أيضًا باسم NLWeb، لتسهيل عمل وكلاء الذكاء الاصطناعي في تصفح محتوى الويب والتفاعل معه. تعد هذه التقنية مكونًا رئيسيًا في رؤية Microsoft للتصفح المدعوم بالذكاء الاصطناعي، ومن المحتمل أن يتم دمجها في ميزات مثل وضع Copilot التجريبي في متصفح Edge. ومع ذلك، تم تحديد خطأ حرج في تجاوز المسار (path traversal) ضمن NLWeb.

ADVERTISEMENT

احتمال انكشاف البيانات

أوضح الباحث أونان غوان كيف يمكن لعنوان URL مصمم خصيصًا استغلال هذه الثغرة الأمنية. يسمح هذا الاستغلال للمهاجم بقراءة ملفات النظام الحساسة، مثل بيانات التكوين وبيانات اعتماد السحابة. نجح غوان في الحصول على قائمة بكلمات مرور النظام ومفاتيح واجهة برمجة التطبيقات (API keys) لخدمات الذكاء الاصطناعي مثل Google Gemini وOpenAI. قد يمكّن هذا المهاجمين من تشغيل تطبيقات الذكاء الاصطناعي دون تكبد تكاليف.

النقاط الرئيسية

استجابة Microsoft وتأثيرها على المستخدمين

وفقًا لغوان، عالج مركز استجابة الأمان في Microsoft المشكلة عن طريق دفع تصحيح إلى مستودع GitHub ذي الصلة في يونيو. بينما لم تصدر Microsoft تقريرًا رسميًا يوضح تفاصيل الثغرة الأمنية، لا يُطلب من المستخدمين اتخاذ أي إجراءات محددة حيث تم تنفيذ الإصلاح من جانب الخادم. تسلط هذه الاستجابة السريعة الضوء على الجهود المستمرة لتأمين تقنيات الذكاء الاصطناعي مع تطورها.

ADVERTISEMENT

تداعيات أوسع لأمن الذكاء الاصطناعي

يؤكد هذا الاكتشاف على المشهد المتطور لأمن الذكاء الاصطناعي. مع تزايد دمج وكلاء الذكاء الاصطناعي في الحوسبة اليومية، يمكن أن تتلاشى الحدود الفاصلة بين أوامر اللغة الطبيعية وعمليات النظام. يحذر غوان من أن الهجمات المستقبلية قد تتضمن مطالبات لغوية طبيعية معقدة تترجم إلى مسارات ملفات أو إجراءات ضارة. تأتي هذه الحادثة بعد مخاوف سابقة بشأن تفاعلات الذكاء الاصطناعي، مثل ظهور محادثات ChatGPT في نتائج البحث، مما يؤكد الحاجة إلى تدابير أمنية قوية في تطوير الذكاء الاصطناعي.

قراءة مقترحة

26-05-2025
إطلاق "دانوب الأزرق" إلى الفضاء احتفالاً بعيد ميلاد شتراوس 200
احتفالاً بعيد ميلاد شتراوس 200، سيتم إرسال مقطوعة "دانوب الأزرق" إلى الفضاء، حيث ستُبث عبر إشارات راديوية، مما يفتح آفاق جديدة لاستكشاف الفضاء.
ADVERTISEMENT
28-05-2025
مشروع قانون ترامب الكبير قد يمنع الولايات من تنظيم الذكاء الاصطناعي لعقد كامل
مشروع قانون ترامب الكبير قد يمنع الولايات من تنظيم الذكاء الاصطناعي لعقد كامل، مما يثير قلق المشرعين حول تأثير ذلك على الابتكار والتنظيم.
03-07-2025
مفارقة مايكروسوفت: تسريح آلاف الموظفين وسط مليارات الأرباح
مايكروسوفت تسرح آلاف الموظفين على الرغم من الأرباح القياسية، مما يثير مخاوف بشأن تأثير الذكاء الاصطناعي على مستقبل العمل في صناعة التكنولوجيا.
13-08-2025
روبوت ماجيك بوت الصيني يستعرض قوته، ويسحب 551 رطلاً بسهولة
اكتشف القوة المذهلة لروبوت MagicBot البشري الصيني وهو يسحب 551 رطلاً. تعرف على قدراته في الذكاء الاصطناعي وتطبيقاته الصناعية ومهاراته المتنوعة.
ADVERTISEMENT
27-06-2025
تحذير الدراسات: قد يجعلنا الذكاء الاصطناعي أقل ذكاءً
{ "document": "تشير دراسات جديدة من جامعتي بنسلفانيا ومعهد ماساتشوستس للتكنولوجيا إلى أن الاستخدام المنتظم للذكاء الاصطناعي، وخاصة نماذج اللغة الكبيرة، قد يؤدي إلى تدهور القدرات المعرفية وفهم سطحي، مما يثير جدلاً حول تأثير الذكاء الاصطناعي على الفكر البشري." }
08-07-2025
روبوت Agibot X2-N: الروبوت البشري الذي يرى بدون عيون
تكشف Agibot عن X2-N، وهو روبوت بشري يتمتع بحركة ثنائية الوضع وملاحة بدون كاميرا، مما يضع معايير جديدة للاستقلالية الروبوتية والقدرة على التكيف.
28-09-2025
الروبوتات الشبيهة بالبشر تدشن عصرًا جديدًا في بناء السفن، معززة الكفاءة والسلامة
يتم دمج الروبوتات الشبيهة بالبشر في أحواض بناء السفن لتعزيز السلامة والكفاءة، مما يمثل تقدمًا تكنولوجيًا كبيرًا في الصناعة البحرية. تعرف على المزيد حول هذا التعاون وتداعياته.
ADVERTISEMENT
20-10-2025
دبي تسرّع طموحات الذكاء الاصطناعي بمنصة جديدة وفرقة عمل ومبادرة للشركات الناشئة
دبي تكشف عن استراتيجية شاملة للذكاء الاصطناعي تتضمن منصة تمكين البنية التحتية للذكاء الاصطناعي، وفرقة عمل تسريع الذكاء الاصطناعي في دبي، وبرنامج "يونيكورن 30" لدفع الابتكار العالمي وتعزيز اقتصادها الرقمي.
30-09-2025
يتيح لك ChatGPT الآن شراء المنتجات مباشرة: إطلاق فوري للدفع مع Etsy و Shopify
تقدم OpenAI ميزة الدفع الفوري لـ ChatGPT، مما يتيح للمستخدمين شراء المنتجات مباشرة من Etsy و Shopify داخل روبوت الدردشة المدعوم بالذكاء الاصطناعي. تعرف على كيفية عمل هذه الميزة وتأثيراتها على التجارة الإلكترونية.
18-09-2025
لا تفوت أي لحظة: الذكاء الاصطناعي "اسأل Gemini" من Google Meet يلخص لك المحادثات الفائتة
تقدم Google Meet ميزة "اسأل Gemini"، وهي مساعد ذكاء اصطناعي مصمم لتلخيص المحادثات الفائتة والإجابة على الأسئلة أثناء المكالمات، مما يعزز الإنتاجية لمستخدمي Workspace.
ADVERTISEMENT