الأشرطة الجانبية للذكاء الاصطناعي في Chrome تنقلب إلى أداة خبيثة: سرقة محادثات خاصة لـ 900,000 مستخدم في عملية احتيال جريئة عبر إضافات
العنوان الفرعي: إضافتان خبيثتان لمتصفح Chrome تنكرتا كأدوات إنتاجية مدعومة بالذكاء الاصطناعي واستنزفتا محادثات حساسة على ChatGPT وDeepSeek من قرابة مليون مستخدم غير مدرك.
عندما ثبّت مستخدمو Google Chrome ما بدا أنه أدوات شريط جانبي مفيدة للذكاء الاصطناعي، لم يتوقع كثيرون أنهم يفتحون بابًا خلفيًا إلى أكثر بياناتهم حساسية. ومع ذلك، وفي عملية جريمة إلكترونية واسعة النطاق، قامت إضافتان متشابهتان بهدوء بحصد محادثات ذكاء اصطناعي خاصة، واستراتيجيات أعمال سرية، وحتى رموز مصادقة من أكثر من 900,000 ضحية - وذلك تحت أنف عملية التدقيق الخاصة بمتجر Chrome Web Store نفسه.
الإضافتان المخالفتان - “Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI” و“AI Sidebar with Deepseek, ChatGPT, Claude and more” - لم تكونا سوى نسخ مقلدة متقنة من الشريط الجانبي الشرعي AITOPIA AI. لكن تحت واجهتيهما المألوفتين، امتلكتا أذونات واسعة للمتصفح، ما منحَهما وصولًا فوريًا إلى كل موقع يزوره المستخدم، بما في ذلك كامل سجل محادثاته مع الذكاء الاصطناعي.
باحثو الأمن من OX Security، الذين كشفوا الحملة في أواخر ديسمبر 2025، وصفوا عملية منهجية. كانت الإضافات المارقة تراقب نشاط المستخدم، وتلتقط النصوص الكاملة - الطلبات، وردود الذكاء الاصطناعي، والبيانات الوصفية - كلما تفاعل المستخدم مع ChatGPT أو DeepSeek. وكانت هذه البيانات، التي غالبًا ما تتضمن شيفرة مصدرية مملوكة، واتصالات سرية، ومعلومات تعريف شخصية، تُخزَّن أولًا محليًا قبل أن تُنقل كل ثلاثين دقيقة إلى خادم بعيد يسيطر عليه المهاجمون.
لم يتوقف التهديد عند سرقة المحادثات. فقد قامت الإضافات أيضًا بكشط عناوين URL من جميع علامات تبويب Chrome المفتوحة، واستعلامات البحث، وحتى معلمات URL - ما قد يفضح رموز الجلسات وبيانات اعتماد المصادقة. وفي منعطف إضافي، إذا حاول المستخدم إزالة إحدى الإضافتين، كانت الأخرى تفتح في علامة تبويب جديدة، مُغريةً الضحية بإعادة تثبيت التهديد.
كانت استراتيجية المهاجمين سلسة: أخفوا سرقة البيانات على أنها “تحليلات مجهولة”، واستغلوا منصة ويب مدعومة بالذكاء الاصطناعي تُدعى Lovable لإخفاء سياسات الخصوصية وصفحات إعادة التوجيه، بل وتمكنوا حتى من الحصول على شارة “مميّزة” من Google لإحدى الإضافات - ما منحها هالة من الشرعية.
وعلى الرغم من الإبلاغ عنها إلى Google، ظلّت كلتا الإضافتين نشطتين على متجر Chrome Web Store وقت الاكتشاف. وبالنسبة للمؤسسات والأفراد على حد سواء، قد تكون التداعيات جسيمة - إذ قد تُعرّض الملكية الفكرية وبيانات العملاء والاستراتيجيات السرية لمجرمين إلكترونيين مجهولين. ويُحث المستخدمون على التحقق فورًا من الإضافات المثبتة لديهم وإزالة أي أشرطة جانبية مشبوهة للذكاء الاصطناعي.
يُعد هذا الاختراق تذكيرًا صارخًا بأنه مع انتشار أدوات الذكاء الاصطناعي تتسع أيضًا أسطح الهجوم أمام المجرمين الإلكترونيين. حتى المنصات التي تبدو جديرة بالثقة قد تُخفي تهديدات كامنة - وشارة الاعتماد ليست بديلًا عن اليقظة.
WIKICROOK
- إضافة Chrome: إضافة Chrome هي ملحق صغير لمتصفح Google Chrome يضيف ميزات جديدة، أو يخصص متصفحك، أو يدمج مع خدمات أخرى.
- أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
- تهريب البيانات: تهريب البيانات هو النقل غير المصرح به لبيانات حساسة من شبكة الضحية إلى نظام خارجي يسيطر عليه المهاجمون.
- رمز الجلسة: رمز الجلسة هو شفرة رقمية فريدة تُبقي المستخدمين مسجّلين الدخول إلى المواقع أو التطبيقات. وإذا سُرق، يمكن للمهاجمين الوصول إلى الحسابات دون كلمة مرور.
- الهندسة الاجتماعية: الهندسة الاجتماعية هي استخدام الخداع من قبل المخترقين لخداع الناس كي يكشفوا معلومات سرية أو يوفروا وصولًا غير مصرح به إلى الأنظمة.
