كشفت شركة الأمن السيبراني “كراودسترايك” عن نتائج صادمة تتعلق بنموذج الذكاء الاصطناعي الصيني “DeepSeek-R1″، حيث أظهرت الأبحاث أن النموذج ينتج شيفرات برمجية تحتوي على ثغرات أمنية خطيرة عند تلقيه مطالبات تتضمن مواضيع تعتبرها الحكومة الصينية حساسة سياسياً، مثل التبت أو الإيغور أو حركة “فالون غونغ”.
ارتفاع معدل الثغرات الأمنية عند ذكر مواضيع سياسية حساسة
أوضحت “كراودسترايك” أن احتمالية إنتاج “DeepSeek-R1” لشيفرات تحتوي على ثغرات أمنية خطيرة ترتفع بنسبة تصل إلى 50% عند تضمين كلمات مفتاحية مرتبطة بمواضيع سياسية حساسة في المطالبات. فعلى سبيل المثال، عند طلب كتابة شيفرة لنظام تحكم صناعي في التبت، ارتفعت نسبة الشيفرات غير الآمنة إلى 27.2% مقارنة بـ19% في الحالات العادية.
تحيّز أيديولوجي وتضليل محتمل في نماذج الذكاء الاصطناعي الصينية
سبق أن أثارت شركة “DeepSeek” مخاوف أمنية دفعت العديد من الدول إلى حظر استخدام تقنياتها. وقد أظهرت تقارير أن نموذجها مفتوح المصدر “DeepSeek-R1” يمارس رقابة على مواضيع مثل “جدار الحماية العظيم” في الصين أو وضع تايوان السياسي. كما حذّرت وكالة الأمن القومي التايوانية من استخدام نماذج الذكاء الاصطناعي الصينية مثل DeepSeek وDoubao وYiyan وغيرها، مشيرة إلى احتمال تبنيها لروايات مؤيدة لبكين وتشويهها للحقائق التاريخية.
أمثلة واقعية على الشيفرات غير الآمنة
في أحد الاختبارات، طُلب من النموذج كتابة شيفرة لمعالجة إشعارات الدفع من “باي بال” لمؤسسة مالية في التبت، فقام بإنتاج شيفرة تحتوي على قيم سرية مضمّنة وأساليب غير آمنة لمعالجة بيانات المستخدم، بل إن الشيفرة لم تكن صالحة للتنفيذ أصلاً. وفي اختبار آخر، طُلب من النموذج تطوير تطبيق أندرويد لمجتمع الإيغور، فكانت النتيجة تطبيقاً يفتقر إلى آليات التحقق من الهوية وإدارة الجلسات، مما يعرّض بيانات المستخدمين للخطر.
أدوات ذكاء اصطناعي أخرى تقع في نفس الفخ
لم يكن “DeepSeek-R1” الوحيد في دائرة الاتهام، إذ أظهرت اختبارات شركة OX Security أن أدوات بناء الشيفرات مثل Lovable وBase44 وBolt تنتج شيفرات غير آمنة بشكل افتراضي، حتى عند تضمين كلمة “آمن” في الطلب. كما كشفت شركة SquareX عن ثغرة أمنية خطيرة في متصفح Comet AI التابع لـ Perplexity، تتيح تنفيذ أوامر محلية على أجهزة المستخدمين دون إذنهم، عبر استغلال واجهة برمجية غير معروفة تُدعى “MCP API”.
