كشفت شركة Wiz المتخصصة في أمن السحابة عن أن عددًا من الشركات الرائدة في مجال الذكاء الاصطناعي، من بينها Anthropic وPerplexity، ربما عرضت بيانات حساسة خاصة بها على منصة GitHub دون قصد، ما يشير إلى خلل في آليات الأمان لدى بعض المؤسسات التقنية الكبرى.
65% من شركات “AI 50” معرضة للمخاطر
ووفقًا لتقرير Wiz، فإن نحو 65 في المئة من شركات الذكاء الاصطناعي المدرجة ضمن قائمة “AI 50” لمجلة فوربس تواجه مخاطر تسريب بيانات تتعلق بنماذجها وخوارزمياتها وعمليات التدريب الخاصة بها. وتشمل هذه البيانات المفاتيح السرية لواجهات برمجة التطبيقات (API Keys) والرموز المميزة (Tokens) وبيانات اعتماد حساسة قد تتيح الوصول إلى أنظمة الشركات وأدواتها الداخلية.
بيانات حساسة مكشوفة دون قصد
وأشار التقرير إلى أن التسريبات المحتملة طالت شركات مثل Anthropic وPerplexity وMistral وCohere وMidjourney وSuno وWorld Labs، إلا أن التقرير لم يحدد أسماء شركات بعينها تعرضت لتسريب فعلي. وأكد الباحثون أن السبب الرئيسي لهذه التسريبات هو استخدام المطورين لمنصة GitHub لتخزين الأكواد وإنشاء المستودعات، مما يؤدي أحيانًا إلى نشر مفاتيح وصول أو بيانات تدريب أو معلومات عن النماذج بشكل غير مقصود.
نشاط المطورين يزيد احتمالات التسريب
وأوضح التقرير أن مستوى الخطر يرتفع كلما اتسع النشاط البرمجي للشركة على GitHub، مشيرًا إلى أنه تم رصد بعض حالات التسريب حتى في غياب المستودعات العامة.
ولقياس درجة الخطورة، قامت Wiz بتحديد حسابات موظفي الشركات من خلال تحليل بياناتهم على LinkedIn وGitHub وربطها بمعلومات من منصات أخرى مثل Hugging Face.
نتائج الفحص: مفاتيح وأوزان النماذج مكشوفة
وخلال عملية المسح، فحص الباحثون سجلات التحديثات والفروع (forks) والملفات المحذوفة وسجلات العمل التلقائي (workflow logs) وحتى ملفات gists، ليتبين أن بعض المطورين أدرجوا بيانات حساسة في مستودعاتهم أو ملفاتهم العامة دون إدراك للمخاطر الأمنية.
وشملت البيانات المكتشفة أوزان النماذج ومعاملاتها (Model Weights & Biases)، ومفاتيح دخول إلى Google API وHugging Face وElevenLabs، وغيرها من المعلومات عالية الحساسية.
دعوة لتعزيز إجراءات الأمان
ودعت شركة Wiz جميع شركات الذكاء الاصطناعي إلى استخدام أدوات متقدمة لرصد التسريبات بشكل استباقي، مؤكدة أن التحدي الأمني في بيئة التطوير السحابي يتطلب رقابة مستمرة وتدريبًا واعيًا للمطورين لتجنب الكشف غير المقصود عن البيانات.
