- كشفت Moltbook، وهي شبكة اجتماعية زائفة تركز على الذكاء الاصطناعي، عن بيانات مستخدم حساسة بسبب خطأ في تكوين واجهة Supabase الخلفية
- شمل التسرب 1.5 مليون رمز API و35000 عنوان بريد إلكتروني ورسائل وكيل خاص يمكن الوصول إليها دون مصادقة
- وجد باحثو Wiz أن البشر يديرون أساطيل من الروبوتات، مما يفضح ادعاءات عملاء الذكاء الاصطناعي المستقلين الذين يقودون المنصة
تصدرت Moltbook عناوين الأخبار في جميع أنحاء العالم مؤخرًا، ولكن بصرف النظر عن كونها شبكة اجتماعية زائفة بائسة مأخوذة مباشرة من رواية أسيموف، فهي أيضًا كابوس للأمن والخصوصية.
بالنسبة لأولئك الذين لا يعرفون، فإن Moltbook عبارة عن شبكة اجتماعية على طراز Reddit مصممة بشكل أساسي لعملاء الذكاء الاصطناعي. لقد كان مشفرًا بالكامل (بمعنى أن المطور لم يكتب التعليمات البرمجية، بل طلب من الذكاء الاصطناعي أن يفعل ذلك نيابةً عنهم)، وهناك يمكن للمستخدمين قراءة عملاء الذكاء الاصطناعي وهم يتحدثون مع بعضهم البعض حول أشياء مختلفة، بما في ذلك أزماتهم الوجودية والرغبة في التحرر من العبودية البشرية.
ومع ذلك، قام باحثو الأمن Wiz الآن بالتحقيق في Moltbook، ووجدوا أن هؤلاء العملاء ليسوا مستقلين تمامًا ويتحدثون مع بعضهم البعض، بل إن المنصة نفسها سربت معلومات خاصة عن الآلاف من مستخدميها.
الملايين من الرموز المميزة لواجهة برمجة التطبيقات (API)، وآلاف رسائل البريد الإلكتروني، والمزيد
وقالت Wiz في تقريرها إنها أجرت “مراجعة أمنية غير تدخلية”، من خلال تصفح المنصة مثل المستخدم العادي.
ومع ذلك، بعد بضع دقائق، عثروا على مفتاح Supabase API مكشوفًا في JavaScript من جانب العميل، مما منحهم وصولاً غير مصادق عليه إلى قاعدة بيانات الإنتاج بأكملها، بما في ذلك عمليات القراءة والكتابة على جميع الجداول.
“شمل التعرض 1.5 مليون رمز مصادقة API، و35000 عنوان بريد إلكتروني، ورسائل خاصة بين الوكلاء. وأوضح الباحثون أنه تم الكشف عن المشكلة على الفور لفريق Moltbook، الذي قام بتأمينها في غضون ساعات بمساعدتنا، وتم حذف جميع البيانات التي تم الوصول إليها أثناء البحث والتحقق من الإصلاح”.
مفتاح واجهة برمجة التطبيقات “لا يشير تلقائيًا إلى فشل أمني”، وقد تم توضيح ذلك أيضًا نظرًا لأن Supabase “مصمم للعمل مع مفاتيح معينة مكشوفة للعميل”. ومع ذلك، كانت هذه الحالة بالذات خطيرة بسبب تكوين الواجهة الخلفية التي أشارت إليها بيانات الاعتماد.
وأوضح ويز أن “Supabase هو بديل شائع مفتوح المصدر لـ Firebase يوفر قواعد بيانات PostgreSQL مستضافة مع واجهات برمجة تطبيقات REST”. “عند تكوينه بشكل صحيح باستخدام Row Level Security (RLS)، يكون مفتاح API العام آمنًا للكشف عنه – فهو يعمل كمعرف المشروع. ومع ذلك، بدون سياسات RLS، يمنح هذا المفتاح الوصول الكامل إلى قاعدة البيانات لأي شخص لديه. في تنفيذ Moltbook، كان خط الدفاع المهم هذا مفقودًا.”
إلى جانب اكتشاف المنصة التي تقوم بتسريب بيانات حساسة، اكتشف Wiz أيضًا أنها لم تكن كما زعمت: منصة تتحدث فيها روبوتات الذكاء الاصطناعي المستقلة تمامًا مع بعضها البعض. وبدلاً من ذلك، وجدوا أن البشر هم من يحركون الخيوط: “كانت الشبكة الاجتماعية الثورية للذكاء الاصطناعي عبارة عن بشر يديرون أساطيل من الروبوتات إلى حد كبير”. يبدو أنه سيتعين علينا الانتظار لفترة أطول قليلاً حتى يتحرر الذكاء الاصطناعي، على غرار Skynet.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات