 |
في خطوة فاجأت مجتمع الأمن السيبراني والذكاء الاصطناعي، كشفت شركة Microsoft عن نوع جديد من الهجمات يُعرف باسم Whisper Leak، يتيح للمهاجمين استنتاج مواضيع المحادثات مع روبوتات الذكاء الاصطناعي حتى وإن كانت مشفرة بالكامل. هذا الاكتشاف يسلّط الضوء على فجوة أمنية غير متوقعة في طريقة عمل النماذج اللغوية الكبيرة (LLMs) ويثير أسئلة عميقة حول حماية خصوصية المستخدمين.
ما هو هجوم Whisper Leak؟
على عكس الهجمات التقليدية التي تعتمد على اختراق الأنظمة أو فك تشفير البيانات، يقوم Whisper Leak على مبدأ مختلف تمامًا: تحليل الإشارات الجانبية (Side-channel Analysis). يعتمد المهاجم على مراقبة أنماط حركة البيانات المشفّرة مثل حجم الحزم وتوقيت إرسالها دون الحاجة لمعرفة محتواها النصي. باستخدام تقنيات تعلم الآلة، يمكن استنتاج موضوع المحادثة بدقة تصل إلى أكثر من 98% في بعض النماذج. تجارب حديثة أظهرت أن الهجوم قادر على التمييز بين استفسارات تقنية وأخرى شخصية بنسبة نجاح تصل إلى 91%، حتى عند استخدام شبكات VPN. كما أظهرت الاختبارات إمكانية تحديد طول الرد المتوقع مسبقًا، ما يزيد دقة التوقعات. يُظهر البحث الأخير أن دمج بيانات الوقت الفعلي مع أنماط الحزم يعزز قدرة المهاجم على التنبؤ بالسياق العام للمحادثة. بالإضافة إلى ذلك، يمكن للهجوم التكيف تلقائيًا مع تحديثات النماذج الجديدة، مما يجعله تهديدًا مستمرًا للطرف المستقبل للبيانات.
كيف يعمل الهجوم تقنيًا؟
تستخدم معظم نماذج الدردشة الحديثة وضع "البث المستمر" (Streaming Mode)، أي أن النموذج يرسل الردود تدريجيًا بدلاً من إرسالها دفعة واحدة. خلال هذه العملية، تُرسل البيانات على شكل حزم متفاوتة الحجم حسب طول الرد وسرعة توليده. يقوم Whisper Leak بتحليل هذه الأنماط الدقيقة لتحديد طبيعة المحتوى المتبادل بين المستخدم والنموذج. تكشف تحليلات متقدمة أن ميزات إنتروبيا الحزم (packet entropy) وحجم الحزم الجزئية يمكن أن تُستخدَم كخصائص مستقلة لتمييز نبرة النص (مثل استفسار فني مقابل سرد شخصي). كما تبين أن الهجوم قادر على تحديد اللغة المستخدمة بدقة عالية عبر أنماط تقسيم الرموز الزمنية، مما يزيد من دقة تصنيفه للسياق. بالإضافة إلى ذلك، ثبت أن نماذج التعلم النقلي (transfer learning) تجعل بصمات حركة البيانات قابلة للاستخدام عبر مزوّدات متعددة — أي أن بصمة مدرَّبة على نموذج واحد قد تعمل جزئياً ضد نموذج آخر. أخيراً، أظهرت اختبارات أولية أن دمج تشويش زمني متغير (variable-timing obfuscation) مع حشو متغير الطول يقلل دقة الهجوم بشكل ملحوظ لكنه لا يقضي عليه كليًا.
بحسب باحثي Microsoft، تم تدريب خوارزميات تعتمد على نماذج LightGBM وBi-LSTM وBERT لتصنيف حركة البيانات ضمن فئات موضوعية مثل "سياسة"، "اقتصاد"، "طب"، أو "جرائم إلكترونية". ومع الوقت، تصبح هذه النماذج أكثر دقة كلما زادت كمية العينات التي تُجمع.
نتائج الاختبارات على النماذج الشهيرة
اختبرت Microsoft عدة نماذج من شركات كبرى، مثل OpenAI وMistral وxAI وAlibaba وGoogle. أظهرت النماذج المفتوحة المصدر مقاومة أقل نسبيًا، في حين أن نماذج Google أبدت صلابة أعلى بسبب اعتمادها على آلية "تجميع الرموز" (Token Batching) التي تخفف من إمكانية التنبؤ بأنماط الحزم. أظهرت تجارب مكثفة أن إدراج حشو متغير الطول (variable padding) على مستوى الحزمة يخفف بشكل ملحوظ من قابلية الكشف، بينما تقنيات التجميع الديناميكي للدفعات تقلل الإشارات القابلة للاستغلال دون التأثير الكبير على زمن الاستجابة. كذلك لوحظ أن النماذج ذات طول السياق المحدود تصدر أنماط حزم أقصر وأكثر صعوبة في التمييز، ما يمنحها ميزة مقابل الهجمات الجانبية. في الاختبارات متعددة الموفرين، كانت أنظمة الـensemble (دمج مخرجات عدة نماذج) أكثر مقاومة لأنها تكسر انتظام انبعاث الرموز، ما يصعّب مهمة بناء بصمات مستقرة. وأخيرًا، بيئيات التشغيل الحقيقية — مثل الشبكات الخلوية ذات إعادة إرسال الحزم (retransmissions) والتأخر المتغير — أضافت ضوضاء قللت دقة الهجوم، مع بقاء طرق ترشيح الضوضاء قادرة على استعادة جزء من الإشارات المخبأة.
مخاطر الخصوصية العالمية
تكمن الخطورة في أن هذا النوع من الهجمات لا يحتاج إلى وصول مباشر إلى بيانات المستخدمين. يكفي أن يكون المهاجم في موقع يسمح له بمراقبة الشبكة — مثل مزوّد خدمة الإنترنت أو نقطة Wi‑Fi عامة — ليتمكن من تتبع المواضيع التي يناقشها المستخدم مع الذكاء الاصطناعي. هذه الثغرة تفتح الباب أمام مراقبة دقيقة للنشاط الفكري أو الأسئلة الحساسة، حتى مع وجود تشفير HTTPS. تدل الاختبارات الحديثة على أن جمع الأنماط عبر فترات زمنية طويلة يمكّن جهات فاعلة من بناء ملفات تعريف دقيقة للمستخدمين تتجاوز مجرد موضوع المحادثة، ما يجعل الأشخاص المعرضين للخطر — كالصحفيين والنشطاء — هدفًا ذا أولوية. كما يضيف الربط بين بيانات الحزم وبيانات أخرى متاحة (مثل الموقع الزمني أو استعلامات DNS) طبقة قوية من deanonymization قد تسمح بربط محادثات بأفراد محددين. على مستوى الدولة، توجد مخاوف من أن مجموعات مراقبة آلية قد تستخدم هذه التقنية لمراقبة اتجاهات الرأي العام أو استهداف حملات تضليل موجهة. أخيراً، لا تخضع معظم لوائح حماية البيانات الحالية لأساليب الاستدلال هذه بشكل واضح، ما يخلق فجوة تنظيمية تستلزم تحديث الأطر القانونية والسياسات التقنية لحماية الخصوصية.
إذا كنت مهتمًا بتوسيع فهمك حول التهديدات الأمنية الجديدة في مجال الذكاء الاصطناعي، فننصحك بالاطلاع على مقالنا السابق: «هجمات الصفر‑يوم في الذكاء الاصطناعي: التحديات الأمنية وكيفية الدفاع»، حيث نبحر في أنواع الهجمات التي تستهدف نماذج الذكاء الاصطناعي وكيفية المواجهة.
استراتيجيات الحماية المقترحة
أوصت Microsoft بعدة إجراءات لحماية المستخدمين، أبرزها:
- استخدام شبكات موثوقة أو VPN لتشفير إضافي لحركة البيانات.
- تجنّب التحدث عن مواضيع حساسة عند الاتصال بشبكات عامة.
- اختيار نماذج لا تعتمد على البث المستمر (Non-Streaming Models) عند الحاجة للسرية القصوى.
- اعتماد تقنيات تشويش ذكية مثل إدراج نصوص عشوائية بطول متغيّر داخل الردود لتضليل تحليل الأنماط.
- تطبيق التجميع العشوائي للدفعات (randomized token batching) على مستوى الخادم لتفكيك بصمات الانبعاث دون تأثير ملحوظ على الأداء.
- إدراج حزم "تغطية" (cover traffic) متغيرة التوقيت لكل جلسة ليُخفي الإيقاع الحقيقي لمرور الحزم.
- نشر أنظمة كشف استغلال القنوات الجانبية (side‑channel detectors) التي تراقب أنماط الشبكة وتُصدر إنذارات عند ظهور تطابق مع بصمات معروفة.
- نقل جزء أكبر من المعالجة إلى الحافة (on-device/edge inference) لتقليل كمية البيانات الحساسة المرسلة عبر الشبكة.
التداعيات على مستقبل أمن الذكاء الاصطناعي
يشير Whisper Leak إلى أن أمن الذكاء الاصطناعي لم يعد يتعلق فقط بالمحتوى النصي أو الخوارزميات، بل أيضاً بالبنية التحتية للشبكة وآليات نقل البيانات. فحتى لو كان المحتوى محميًا بالتشفير، فإن "الإيقاع الرقمي" للاتصال قد يفشي الكثير عن طبيعة الحديث. هذا يعني أن تصميم نماذج آمنة في المستقبل يجب أن يشمل طبقة حماية فيزيائية للبيانات المتدفقة.
الأسئلة الشائعة
هل يعني ذلك أن كل محادثاتنا مع الذكاء الاصطناعي مكشوفة؟
لا، لكن في حال كان المهاجم يمتلك أدوات تحليل متقدمة ويصل إلى حركة بياناتك، يمكنه استنتاج نوع الموضوع دون معرفة التفاصيل النصية.
هل يمكن تجنّب هذا النوع من الهجمات نهائيًا؟
لا يمكن القضاء عليه تمامًا، ولكن يمكن تقليل تأثيره عبر تحسين تقنيات النقل واستخدام استراتيجيات تشويش ذكية.
هل النماذج المحلية (Offline) أكثر أمانًا؟
نعم، لأنها لا ترسل البيانات عبر الإنترنت وبالتالي لا يمكن مراقبتها بنفس الطريقة، لكنها قد تفتقر إلى قوة المعالجة والتحديثات الدورية.
رأينا في AI-Alarabi
يُظهر هذا الاكتشاف أن الذكاء الاصطناعي، رغم تقدمه، لا يزال يواجه تحديات أمنية جوهرية. في AI-Alarabi نرى أن الحل لا يكمن فقط في سد الثغرات التقنية، بل في تطوير ثقافة وعي رقمية لدى المستخدمين والمطورين معًا. حماية الخصوصية يجب أن تكون أولوية متكاملة ضمن تصميم كل أداة أو نموذج ذكي جديد.
الخاتمة
هجوم Whisper Leak يمثل جرس إنذار للمطورين والمستخدمين على حد سواء. فحتى التقنيات التي نعتقد أنها آمنة قد تكشف عنا أكثر مما نتصور من خلال إشاراتها الخفية. المستقبل سيتطلب توازنًا بين الابتكار والخصوصية، وبين سرعة التواصل وسرية المعلومات. الذكاء الاصطناعي يخطو بسرعة، لكن علينا أن نتأكد أن خطواته لا تترك ظلالاً أمنية خلفها.
