تؤكد شركة Mercor سرقة البيانات بعد تسوية مفتوحة المصدر
أكدت شركة Mercor للتوظيف التي تعمل بالذكاء الاصطناعي أنها تعرضت لهجوم إلكتروني كبير، مما أدى إلى سرقة البيانات من قبل طاقم قرصنة للابتزاز. يقال إن الحادث مرتبط بتسوية أوسع لمشروع LiteLLM مفتوح المصدر، وهو خادم وكيل شائع مصمم لتبسيط التفاعلات مع العديد من نماذج اللغات الكبيرة (LLMs).
يسلط الاختراق، الذي اعترفت به Mercor علنًا في 23 أكتوبر 2023، بعد أن أعلنت نقابة جرائم الإنترنت مسؤوليتها، الضوء على الضعف المتزايد لشركات الذكاء الاصطناعي والمخاطر الأمنية المعقدة الكامنة في سلسلة توريد البرامج مفتوحة المصدر. في حين أن شركة Mercor لم تكشف بعد عن المدى الكامل أو طبيعة البيانات المسروقة، فإن تورط مجموعة ابتزاز يشير عادةً إلى أنه تم تسريب معلومات حساسة بهدف المطالبة بفدية.
اتصال LiteLLM: ثغرة أمنية في سلسلة التوريد
يثير الارتباط بـ LiteLLM قلقًا بشكل خاص لمجتمع تطوير الذكاء الاصطناعي الأوسع. تعمل LiteLLM كوسيط، مما يسمح للمطورين باستخدام واجهة برمجة تطبيقات موحدة للوصول إلى LLMs من مقدمي خدمات مثل OpenAI وAnthropic وGoogle. ويشير اختراقها إلى مسار محتمل للمهاجمين لاختراق أنظمة أي منظمة تعتمد عليها لإدارة تفاعلاتها مع الذكاء الاصطناعي.
لطالما حذر الباحثون الأمنيون، بما في ذلك الدكتورة أنيا شارما من Synapse Labs، من مخاطر "سلسلة التوريد" المرتبطة بالتبعيات مفتوحة المصدر. وأوضح الدكتور شارما لصحيفة DailyWiz: "عندما يتم اختراق مكون أساسي مثل LiteLLM، فإنه يخلق تأثيرًا مضاعفًا". "تدمج المؤسسات هذه الأدوات لتحقيق الكفاءة، غالبًا دون التدقيق الكامل في وضعها الأمني. يمكن لثغرة أمنية واحدة أن تكشف الآلاف من المستخدمين النهائيين."
لا تزال الطبيعة المحددة لتسوية LiteLLM قيد التحقيق، لكن الخبراء يشيرون إلى أنها يمكن أن تتراوح من حقن تعليمات برمجية ضارة في إصدار مستخدم على نطاق واسع إلى سرقة بيانات الاعتماد التي تسمح بالوصول غير المصرح به إلى بيانات المستخدم المتدفقة عبر الوكيل.
الآثار المترتبة على Mercor ومستخدميها
بالنسبة لشركة Mercor، الذكاء الاصطناعي منصة مصممة لتبسيط عملية التوظيف من خلال مطابقة المرشحين مع الشركات، فإن البيانات المحتملة المعرضة للخطر كبيرة. يمكن أن يشمل ذلك معلومات التعريف الشخصية (PII) للمرشحين للوظائف، مثل الأسماء وتفاصيل الاتصال والسيرة الذاتية وتاريخ العمل وربما حتى نتائج التقييم أو ملاحظات المقابلة. قد تتعرض الشركات التي تستخدم خدمات Mercor أيضًا إلى اختراق بيانات التوظيف الخاصة بها أو اتصالاتها الداخلية.
وذكرت شركة ميركور أنها تعمل مع خبراء الأمن السيبراني للتحقيق في الحادث وتأمين أنظمتها. وقال متحدث باسم ميركور في بيان مقتضب: "نحن نأخذ هذا الأمر على محمل الجد ونلتزم بالشفافية مع مستخدمينا"، ووعد بمزيد من التحديثات مع تقدم التحقيق. لم تؤكد الشركة بعد ما إذا كانت قد تعاملت مع المبتزين أو ما هي الخطوات التي تتخذها للتخفيف من الضرر.
التهديد الأوسع لشركات الذكاء الاصطناعي الناشئة وأمن البيانات
يسلط هذا الحادث الضوء على اتجاه متزايد: الشركات الناشئة في مجال الذكاء الاصطناعي، والتي غالبًا ما تعطي الأولوية للابتكار والنشر السريع، أصبحت أهدافًا رئيسية لمجرمي الإنترنت. إن وصولهم إلى كميات هائلة من البيانات - بدءًا من تفاعلات المستخدم إلى الخوارزميات المملوكة - يجعلهم أهدافًا مربحة. إن الاعتماد على الأدوات مفتوحة المصدر، مع تسريع عملية التطوير، يؤدي أيضًا إلى ظهور نقاط ضعف محتملة إذا لم تتم إدارتها باستخدام بروتوكولات أمان صارمة.
إن السرعة التي تتطور بها تقنيات الذكاء الاصطناعي غالبًا ما تفوق تطوير وتنفيذ أطر أمنية قوية. يؤدي هذا إلى إنشاء بيئة يمكن أن تؤدي فيها الهجمات المتطورة، سواء من خلال الانتهاكات المباشرة أو التنازلات في سلسلة التوريد، إلى عواقب وخيمة وبعيدة المدى.
الخطوات العملية للمستخدمين والشركات اليومية
بالنسبة للأفراد الذين قد تتم إدارة بياناتهم عن طريق منصات توظيف الذكاء الاصطناعي أو الخدمات الأخرى التي تعتمد على مكونات مفتوحة المصدر، فإن اليقظة أمر أساسي:
- مراقبة الحسابات: تحقق بانتظام من بياناتك المالية وتقارير الائتمان بحثًا عن أي نشاط مشبوه. فكر في استخدام خدمات مراقبة الائتمان.
- كلمات مرور قوية وفريدة: تأكد من أنك تستخدم كلمات مرور قوية وفريدة لجميع حساباتك عبر الإنترنت، وخاصة تلك المتعلقة بطلبات العمل أو البيانات الشخصية. قم بتمكين المصادقة الثنائية (2FA) حيثما أمكن ذلك.
- كن متشككًا في التصيد الاحتيالي: كن حذرًا من رسائل البريد الإلكتروني أو الرسائل غير المرغوب فيها، خاصة تلك التي تدعي أنها من Mercor أو الخدمات الأخرى التي تستخدمها، وتطلب معلومات شخصية أو توجهك إلى روابط مشبوهة.
- راجع سياسات الخصوصية: افهم كيف تتعامل الخدمات التي تستخدمها مع بياناتك وتحميها.
بالنسبة للشركات التي تتكامل تعتبر حادثة Mercor بمثابة تذكير صارخ لأدوات الذكاء الاصطناعي، وخاصة تلك المبنية على أسس مفتوحة المصدر:
- العناية الواجبة: إجراء فحص شامل لجميع البائعين الخارجيين والمشاريع مفتوحة المصدر للتأكد من ممارساتهم الأمنية.
- عمليات التدقيق المنتظمة: إجراء عمليات تدقيق أمنية متكررة واختبار الاختراق على أنظمتك، بما في ذلك تلك التي تدمج خدمات الذكاء الاصطناعي الخارجية.
- تقليل البيانات: جمع فقط وتخزين البيانات الضرورية للغاية. كلما قلت البيانات المتوفرة لديك، قلت مخاطر الاختراق.
- خطة الاستجابة للحوادث: امتلك خطة واضحة ومختبرة للاستجابة للحوادث في حالة خروقات البيانات.
يعد اختراق Mercor، المرتبط بمكون الذكاء الاصطناعي مفتوح المصدر المستخدم على نطاق واسع، بمثابة دعوة تنبيه حاسمة للنظام البيئي للذكاء الاصطناعي بأكمله لإعطاء الأولوية للأمن بقدر الابتكار، وحماية ثقة المستخدمين وسلامة البيانات في عالم يعتمد بشكل متزايد على الذكاء الاصطناعي.
