كشفت شركة الذكاء الاصطناعي العملاقة OpenAI، يوم الجمعة، عن حادث أمني، قائلة إن أدواتها الداخلية قامت بتنزيل تحديثات لمكتبات برمجيات مفتوحة المصدر شرعية تم التلاعب بها بشكل ضار. ووفقًا لشركة جوجل، فإن حملة القرصنة واسعة النطاق هذه ترتبط ارتباطًا وثيقًا بمجموعة قراصنة كورية شمالية.
قامت OpenAI بتفصيل الموقف في منشور مدونة تم نشره في وقت متأخر من ليلة الجمعة. في 31 مارس، اختطف المتسللون حساب أحد المطورين وأصدروا تحديثين مخترقين لـ Axios، وهي مكتبة طلبات JavaScript HTTP مستخدمة على نطاق واسع (ملاحظة: هذه المكتبة ليست تابعة لمنفذ الأخبار Axios). تم تنزيل التحديث الضار للأسف من خلال سير عمل GitHub الخاص بـ OpenAI والمستخدم لتوقيع الشهادات لتطبيقات MacOS قبل اكتشاف الوضع الشاذ.
وأشارت الشركة إلى أن مستخدمي تطبيقات MacOS بما في ذلك ChatGPT وAtlas وCodex قد يتأثرون بالحادث. التهديد المحتمل لهذا الهجوم هو أنه بمجرد وصول المتسللين إلى النظام وسرقة الشهادات ذات الصلة، يمكنهم إنشاء تطبيقات OpenAI مزيفة بشهادات خلفية شرعية. هذه التطبيقات المزيفة خادعة للغاية بما يكفي لخداع الجهاز ومتجر تطبيقات Apple للاعتقاد بأنها تطبيقات رسمية.
وعلى الرغم من المخاطر المحتملة العالية، أوضحت OpenAI أنها لم تجد أي حالات فعلية لقراصنة يستخدمون شهادات مسروقة لنشر تطبيقات مزيفة، ولا يوجد دليل على تعرض البيانات الشخصية للمستخدمين أو الملكية الفكرية للشركة أو الأنظمة الأساسية الداخلية للخطر. بالإضافة إلى ذلك، لا توجد حاليًا أي علامات على تأثر التطبيقات على iOS وAndroid وWindows والأنظمة الأساسية الأخرى.
يعتقد محللو الصناعة أن هذا الحادث يسلط الضوء على الوضع الأمني الراهن الجديد: لا تواجه شركات الذكاء الاصطناعي اليوم تهديدات محددة لتكنولوجيا الذكاء الاصطناعي فحسب، بل أصبحت أيضًا أهداف الصيد الرئيسية لهجمات سلسلة توريد البرامج التقليدية.
ولأسباب أمنية وحذرة، أعلنت شركة OpenAI أنها ستتوقف رسميًا عن دعم الإصدارات القديمة من تطبيقات MacOS في 8 مايو. وتوفر الشركة للمستخدمين نافذة تحديث مدتها 30 يومًا. إذا لم يتم تحديثه خلال تاريخ انتهاء الصلاحية، فقد يتم حظر الإصدار القديم من التطبيق من التنزيلات الجديدة وعمليات التشغيل الأولى لأنه سيتم إبطال الشهادات ذات الصلة. وحاليا لا يزال هذا الحادث الأمني قيد المتابعة والتطوير.