دروس مستفادة من فشل ماكدونالدز في الذكاء الاصطناعي

تحديث: تعرضت شركة ماكدونالدز لحدث أمني كبير في يونيو، مما أدى إلى تسرب بيانات تخص ملايين المتقدمين للوظائف. في وقت سابق من هذا الشهر، قام الباحثان الأمنيان إيان كارول وسام كاري بتفصيل كيفية اكتشافهما لعيوب كبيرة في منصة توظيف ماكدونالدز، المعروفة باسم McHire. تحتوي المنصة على روبوت دردشة ذكاء اصطناعي يُدعى أوليفيا، تم إنشاؤه بواسطة شركة Paradox.ai.

بعد بضع ساعات من اختبار الروبوت، اكتشف كارول وكاري أن بيانات الاعتماد الافتراضية - "123456" في كلا حقلَي اسم المستخدم وكلمة المرور - مكنتَهم من الوصول إلى واجهة الإدارة لمالكي المطاعم. هذا، بالإضافة إلى وجود مرجع مباشر غير آمن (IDOR) على واجهة برمجة التطبيقات الداخلية، "سمح لنا ولأي شخص آخر لديه حساب McHire والوصول إلى أي صندوق بريد باسترجاع البيانات الشخصية لأكثر من 64 مليون متقدم"، كما جاء في مدونتهم.

ومع ذلك، تواصلت متحدثة باسم Paradox.ai مع Dark Reading لتقول إن الشركة تعارض الرقم "64 مليون متقدم" الذي قدمه الباحثون. وأوضحت المتحدثة أن 64 مليون سجل دردشة تم الوصول إليها، وأن "سجل الدردشة قد يكون بسيطًا مثل قيام المستخدم بالنقر على زر في روبوت الدردشة، دون إدخال أي معلومات شخصية". علاوة على ذلك، تقول المتحدثة إن السجلات لا تعني بالضرورة أن المعلومات الشخصية تم الكشف عنها، ولا تعني بالضرورة طلبات العمل.

أكدت المتحدثة باسم Paradox.ai أن البيانات التي تخص خمسة متقدمين فقط من الولايات المتحدة تم الوصول إليها من قبل الباحثين أثناء اكتشاف المشكلة، وهناك دليل على أن الباحثين فقط هم من وصلوا إلى المعلومات، وليس أي جهات خبيثة. البيان الكامل لشركة Paradox متاح هنا.

أبلغ كارول وكاري عن المشكلة إلى ماكدونالدز وParadox.ai في 30 يونيو؛ وقامت ماكدونالدز بتغيير بيانات الاعتماد الافتراضية في أقل من ساعتين. أكدت Paradox.ai للباحثين أن جميع المشكلات تم حلها في 1 يوليو، وفقًا لجدول المدونة.

وفقًا للباحثين، تضمنت البيانات المسربة، حسب المتقدم، الاسم، البريد الإلكتروني، عنوان المنزل، رقم الهاتف، حالة الترشيح ومدخلات النموذج (مثل الورديات المتاحة للعمل)، و"رمز تفويض لتسجيل الدخول إلى واجهة المستخدم كذاك المستخدم، مما يكشف عن رسائل الدردشة الخام الخاصة بهم، ومن المحتمل معلومات أخرى". على الرغم من عدم وجود سبب حالي للاعتقاد بأن شخصًا ذو نوايا خبيثة قد وصل إلى البيانات، فإن حتى التعرض القصير للمعلومات الشخصية التي تخص (احتماليًا) ملايين المتقدمين يمثل تسريبًا ضخمًا يستدعي التأمل.

تواصلت Dark Reading مع عدد من الخبراء الأمنيين لمعرفة الدروس التي قد تسفر عنها هذه الحادثة.

الدرس 1: تغيير بيانات الاعتماد الافتراضية

على الرغم من أن استخدام روبوت دردشة ذكاء اصطناعي للتعامل مع جزء كبير من عملية التقديم قد يثير بعض التساؤلات، إلا أن القضية الرئيسية هنا أكثر بساطة: لا تستخدم كلمة مرورك الافتراضية. هذا ينطبق بشكل خاص على الشركات الأخرى في مجال التجزئة وخدمات الطعام التي تعتمد على الأتمتة، ولكن للأسف، فإن الانتهاكات والتسريبات الناتجة عن بيانات الاعتماد الافتراضية شائعة جدًا.

يقول دارين غوكسيون، الرئيس التنفيذي والمؤسس المشارك لشركة Keeper Security، المتخصصة في الأمن بدون ثقة، لـ Dark Reading إن ما تعرضت له ماكدونالدز كان "فشلًا في أسس الأمن الأساسية". كما يوضح غوكسيون، فإن الفشل في تحديث بيانات الاعتماد الافتراضية، والإهمال في تطبيق المصادقة متعددة العوامل، وسوء التحكم في الوصول يفتحون بابًا أمام المجرمين المحتملين.

أو، كما يقول ستيفن فريذيم، كبير مسؤولي التكنولوجيا في Varonis، "في هذه الأيام، لا يقوم المهاجمون باختراق الأنظمة، بل يقومون بتسجيل الدخول". "يجب على المنظمات التأكد من أن الهويات آمنة بكلمات مرور معقدة (يفضل أن تكون أفضل من 123456)، واستخدام المصادقة متعددة العوامل كلما أمكن، وتتبع السلوك حول وصولهم إلى البيانات"، يقول فريذيم. "نوصي بإجراء تقييمات منتظمة لتحديد البيانات التي تتعرض بشكل مفرط لجميع أشكال الذكاء الاصطناعي - روبوتات الدردشة، LLM، وأدوات الذكاء الاصطناعي غير المعتمدة - وأي الهويات معرضة للخطر. البيانات ديناميكية، ويجب أن تكون لدى الشركات عمليات للتعامل مع الثغرات مع إنشاء بيانات جديدة بواسطة البشر والذكاء الاصطناعي على حد سواء."

مقالات ذات صلة

أخرى

OnePlus 11: مراجعة شاملة لأداء الهاتف الرائد ومميزاته

منذ 13 ساعة 0

أخرى

إنديد الإمارات (Indeed UAE): دليلك لأكثر من 65 ألف وظيفة

منذ 13 ساعة 0

أخرى

ما هي aljarida24؟ كل ما تريد معرفته عن الجريدة 24 المغربية

منذ 13 ساعة 0

أخرى

نقش حناء عربي: أسرار الجمال من التراث إلى أحدث الصيحات

منذ 13 ساعة 0

أخرى

مطعم بابا: ثورة جديدة في مفهوم الـ Arabic Restaurant

منذ 13 ساعة 0

أخرى

عطر لطافة خمرة (Lattafa Khamrah): سر الرائحة التي أسرت الإنترنت

منذ يوم 0

الدرس 2: تأمين الذكاء الاصطناعي الخاص بك

تعتبر الحادثة فرصة للتفكير في كيفية تطبيق هذه التقنيات الناشئة، وليس فقط للمنظمات الغذائية والتجارية. أولاً وقبل كل شيء، يجب على المتبنين الجدد التأكد من أن التقنيات تُطبق بطريقة تمنع حدوث هذا النوع من التعرض (وغيرها من المشكلات الأمنية الشائعة).

يقول ويلي ليشتير، المدير التنفيذي للتسويق في شركة PointGuard AI المتخصصة في أمان الذكاء الاصطناعي، لـ Dark Reading إن هذه الموجة الجديدة من LLM، والتعلم الآلي، والتقنيات المماثلة المدعومة بالأتمتة تُطبق على مجموعة واسعة من الاستخدامات في مجال التجزئة وخدمات الطعام، مثل توصيات العملاء، وفحص السير الذاتية، وتصفية التنبيهات.

تضيف أديتي غوبتا، مديرة الخدمات المهنية في شركة Black Duck لأمان التطبيقات، أن هذه الموجة الجديدة من تقنيات LLM تؤثر على "جميع أجزاء عمليات الأعمال". "يتم استخدام الذكاء الاصطناعي في تلخيص عقود الشراء، وأنظمة اللوجستيات والتوزيع، وتوفير المساعدة الصوتية والأتمتة للعمليات داخل المتاجر والعمليات الخلفية على سبيل المثال"، تخبر Dark Reading. "خارجيًا، يقوم الذكاء الاصطناعي بتحويل كيفية تفسير التجزئة لرؤى بيانات العملاء واستخدامها في التسويق والتأثير على قرارات الشراء. كما جعل الذكاء الاصطناعي الشخصي تجربة التسوق أكثر سلاسة وتخصيصًا." وبما أن هذه التكنولوجيا أصبحت مرتبطة بشكل كبير بتجربة العملاء، فإنه من المهم وضع الأمان في المقام الأول.

"يجب إدارة الأنظمة الذكية التي تتعامل مع البيانات الشخصية الحساسة بأمان في المقدمة، بما في ذلك إدارة بيانات الاعتماد بشكل قوي، وفرض الوصول الأقل امتيازًا إلى النظام، والمراقبة المستمرة"، يقول غوكسيون من Keeper Security. "تُعتبر الحوادث مثل هذه تذكيرًا صارخًا بأن إهمال تدابير الأمان الأساسية يمكن أن يعرض المستخدمين والعملاء للخطر ويقوض الثقة في كل من المنظمة وحلول الذكاء الاصطناعي الخاصة بها."

توصي غوبتا بتعزيز إدارة البائعين والامتثال، بالإضافة إلى إدارة المخاطر. كما تنصح باستخدام أدوات أمان مخصصة للذكاء الاصطناعي، وتأسيس بروتوكولات لاختبار أمان الذكاء الاصطناعي، وإنشاء إجراءات استجابة للحوادث المتعلقة بأمان الذكاء الاصطناعي.

إذا بدا أن ذلك كثير، يمكنك البدء من المستوى الأساسي والأكثر أساسًا في نظافة الأمان. فبعد كل شيء، هذا هو السبب في وجودنا هنا في المقام الأول. يقول راندولف بار، رئيس قسم أمن المعلومات (CISO) في شركة Cequence Security، المتخصصة في إدارة واجهات البرمجة والتطبيقات، لـ Dark Reading.

يقول بار: "تسلط حالة ماكدونالدز الضوء على حقيقة حاسمة: قبل أن نصل حتى إلى مخاطر الذكاء الاصطناعي، يجب علينا أن نتقن الأساسيات". "ما فشل هنا لم يكن ثغرة معقدة في الذكاء الاصطناعي - بل كان أمانًا أساسيًا. كلمات مرور افتراضية ضعيفة، عدم وجود مصادقة متعددة العوامل، التحكم في الوصول المعطل، ونقاط النهاية المكشوفة هي مشاكل كانت على رادار OWASP لأكثر من عقد من الزمن."

يمنح بار المنظمات التجارية الفضل في بدء التفكير في حماية النماذج، حقن الأوامر، تسرب البيانات، واكتشاف الشذوذ، لكنه يضيف: "تلك الجهود تعني القليل إذا لم تقم بتأمين الهوية، والوصول، والتكوين على مستوى أساسي". "يجب أن يكون الأمان جزءًا من دورة تطوير البرمجيات منذ اليوم الأول، وليس مجرد إضافة عند الإطلاق."

تم تحديث هذا المنشور في الساعة 2 مساءً بتوقيت شرق الولايات المتحدة في 16 يوليو 2025، لتضمين بيانات من Paradox.ai.