كشفت شركة الأمن السيبراني Strix عن ثغرة خطيرة في منصة التدريب الافتراضي المدعومة بالذكاء الاصطناعي Schemata، والتي تُستخدم في بيئات عسكرية ودفاعية، بما في ذلك عقود مع وزارة الدفاع الأميركية. الثغرة سمحت لحساب منخفض الصلاحيات بالوصول إلى بيانات متعددة عبر مستأجرين مختلفين، بما يشمل سجلات المستخدمين، بيانات المنظمات، معلومات الدورات التدريبية، بيانات وصفية للتدريب، وروابط مباشرة إلى مستندات مخزنة على خوادم Amazon Web Services الخاصة بالمنصة.
تفاصيل الثغرة وآلية الاستغلال
المشكلة الأساسية كانت في واجهات API التي تفتقر إلى آليات تحقق قوية من الصلاحيات. هذا الخلل مكّن أي مستخدم عادي من تجاوز القيود والوصول إلى بيانات حساسة تخص مؤسسات مختلفة، وهو ما يُعرف بـ تعدد المستأجرين (multi-tenant exposure).
وفقًا لـ Strix، فإن هذا النوع من الثغرات يُعد بالغ الخطورة في بيئات الدفاع، حيث يمكن أن يؤدي إلى كشف مواد تدريبية عسكرية أو بيانات شخصية لمستخدمين مرتبطين ببرامج حساسة.
موقف الشركة وإجراءاتها
في بيان رسمي على موقعها، أكدت Schemata أنها لا تملك “أدلة على أن أي طرف ثالث استغل الثغرة للوصول إلى بيانات العملاء”. ومع ذلك، فإن مجرد وجود هذه الثغرة يثير مخاوف كبيرة بشأن مستوى الحماية المطبق في منصات التدريب الافتراضي التي تعتمد عليها جهات عسكرية.
من المتوقع أن تعمل الشركة على تعزيز آليات التحقق من الصلاحيات في واجهاتها البرمجية، إضافة إلى مراجعة شاملة لبنية الأمان الخاصة بها.
دلالات أمنية أوسع
هذه الحادثة تسلط الضوء على التحديات المتزايدة في مجال أمن الذكاء الاصطناعي، خاصة في التطبيقات العسكرية والدفاعية. فبينما توفر منصات مثل Schemata إمكانيات تدريب متقدمة عبر الواقع الافتراضي والذكاء الاصطناعي، فإن أي ثغرة في البنية التحتية قد تتحول إلى نقطة ضعف استراتيجية.
كما أن الاعتماد على خدمات سحابية مثل AWS يضيف طبقة جديدة من التعقيد، حيث يصبح التحكم في الوصول وإدارة الصلاحيات أمرًا بالغ الأهمية لتجنب تسرب البيانات.
