- تزداد شعبية وكلاء الذكاء الاصطناعي بشكل كبير – والمواقع تستوعبهم
- وهذا يعني أنهم مجبرون أيضًا على استيعاب “الروبوتات السيئة”
- يجب على المواقع تشديد الإجراءات الأمنية لحماية نفسها والمستخدمين
يأتي الذكاء الاصطناعي بأشكال عديدة، ويهيمن على عالم التكنولوجيا في الوقت الحالي عملاء الذكاء الاصطناعي، الذين يتطورون بسرعة، وغالبًا ما يفوقون الإجراءات الأمنية المتخذة للسيطرة عليهم – ولكن هذا مجرد جانب واحد من القصة، حيث أن فرق الأمن ليس لديها فقط عملاء مارقون ولكن شرعيون يشكلون مخاطر أمنية، ولكن أيضًا عملاء مزيفين.
يكشف بحث جديد من Radware أن هذه الروبوتات الخبيثة تتنكر في هيئة روبوتات دردشة حقيقية تعمل بالذكاء الاصطناعي في وضع العميل، مثل ChatGPT وClaude وGemini – وجميعها “روبوتات جيدة” تتطلب، بشكل حاسم، أذونات طلب POST لأي إمكانات معاملات مثل حجز الفنادق، وشراء التذاكر، وإكمال المعاملات – وكلها أمور أساسية لاستخدامها المُعلن عنه.
يمكن للوكلاء الشرعيين التفاعل مع مكونات صفحة الويب مثل لوحات معلومات الحساب وبوابات تسجيل الدخول وعمليات الخروج – مما يعني أن مواقع الويب يجب أن تسمح الآن بطلبات POST من روبوتات الذكاء الاصطناعي من أجل استيعاب هؤلاء الوكلاء الشرعيين.
اقرأ فقط، لا تكتب أبدًا
المشكلة هنا هي أنه في السابق، كان الافتراض الأساسي في الأمن السيبراني هو أن “الروبوتات الجيدة تقرأ فقط، ولا تكتب أبدًا”. يؤدي هذا إلى إضعاف أمان مالكي المواقع، حيث يمكن للجهات الفاعلة الضارة انتحال العملاء الشرعيين بسهولة أكبر، حيث يحتاجون إلى نفس أذونات موقع الويب.
تتزايد حركة عملاء الذكاء الاصطناعي الشرعيين، مما يزيد من احتمال مرور هذه الروبوتات الاحتيالية دون أن يتم اكتشافها. وبطبيعة الحال، فإن الصناعات الأكثر عرضة للخطر هي الصناعات ذات المخاطر العالية؛ التمويل، والتجارة الإلكترونية، والرعاية الصحية، وكذلك شركات التذاكر/السفر، وقد تم تصميم وكلاء الذكاء الاصطناعي خصيصًا للاستخدام.
تستخدم جميع روبوتات الدردشة طرقًا مختلفة لتحديد الهوية والتحقق، مما يجعل من الصعب على فرق الأمان اكتشاف حركة المرور الضارة – ويسهل على الجهات الفاعلة في مجال التهديد التي تنتحل شخصية الوكيل باستخدام أضعف معايير التحقق.
يوصي الباحثون بتبني سياسة الثقة المعدومة لطلبات تغيير الحالة، مثل تنفيذ تحديات مقاومة الذكاء الاصطناعي مثل اختبارات CAPTCHA المتقدمة. كما يوصون أيضًا بمعاملة جميع وكلاء المستخدم على أنهم غير جديرين بالثقة وفقًا للمعايير، واعتماد فحوصات قوية تعتمد على DNS وIP لضمان تطابق عناوين IP مع هوية الروبوت المزعومة.
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
أفضل حماية من سرقة الهوية لجميع الميزانيات
التعليقات