خلف الأبواب المغلقة: كيف سمح خلل في Microsoft Office لذكاء Copilot بالاطلاع على رسائل بريد إلكتروني سرّية

بدأ الأمر كاختراق صامت غير مرئي - اختراق لم تستطع حتى أكثر الشركات حذرًا توقّعه. لأسابيع، كان Copilot AI الذي تروّج له Microsoft على نطاق واسع يراجع رسائل بريد إلكتروني لم يكن من المفترض أن يراها، ملتقطًا مسودات سرّية ومراسلات حسّاسة، وكل ذلك بفضل خطأ برمجي كان يختبئ على مرأى من الجميع داخل Office 365. وجاء الكشف كصدمة مدوّية، ليعيد إشعال نقاشات ملحّة حول الكلفة الحقيقية لاحتضان الذكاء الاصطناعي في بيئة العمل الرقمية.

حقائق سريعة

• أكدت Microsoft أن خللًا في Office 365 سمح لذكاء Copilot بالوصول إلى رسائل بريد إلكتروني سرّية لعملاء دون تفويض.
• أثّرت الثغرة في الرسائل المسوّدة والمرسلة على حد سواء، بما في ذلك تلك الموسومة بملصقات الحساسية.
• تجاوز الخلل ضوابط منع فقدان البيانات (DLP)، كاشفًا البيانات حتى عند تفعيل طبقات حماية إضافية.
• بدأت Microsoft طرح إصلاح في أوائل فبراير، لكنها لم تكشف العدد الإجمالي للمستخدمين المتأثرين.
• أثار الحادث مخاوف لدى منظمات ومؤسسات، بما في ذلك البرلمان الأوروبي، بشأن تعامل الذكاء الاصطناعي مع البيانات الحسّاسة.

عندما يتجاوز الذكاء الاصطناعي حدوده: تفكيك حادثة Copilot

صُمّم Copilot Chat من Microsoft، وهو مساعد مدعوم بالذكاء الاصطناعي ومضمّن ضمن حزمة Office 365، لتسهيل العمل - تلخيص الرسائل، وصياغة الردود، والتنقيب في المعلومات بسرعة خاطفة. لكن ابتداءً من يناير، سمح خلل حرج (مُعرّف داخليًا بالرمز CW1226324) لـCopilot بالوصول إلى رسائل موسومة بأنها سرّية ومعالجتها، حتى عندما كانت تلك الرسائل محمية بإعدادات أمنية على مستوى المؤسسات.

وكان الاختراق مقلقًا على نحو خاص لأنه أفلت من ميزات منع فقدان البيانات (DLP) - وهي أدوات صُمّمت تحديدًا لمنع معالجة المعلومات الحسّاسة أو تسريبها. حتى المؤسسات التي بذلت جهدًا إضافيًا لحماية مراسلاتها من أعين المتطفلين وجدت احتياطاتها مُقوَّضة بسبب خطأ واحد شاذ. وقد قامت نماذج Copilot بتوليف محتويات هذه الرسائل، ما قد يفضي إلى توليد ملخصات أو ردود استنادًا إلى معلومات كان ينبغي أن تبقى مغلقة بإحكام.

وردّت Microsoft بطرح تصحيح في أوائل فبراير، لكن التفاصيل ما تزال شحيحة. فلم توضّح الشركة عدد المستخدمين المتأثرين، ولم تكشف ما إذا كانت أي من المعلومات المكشوفة قد تم الوصول إليها من أطراف غير مخوّلة أو استُخدمت خارج السياق المقصود للذكاء الاصطناعي. ولم يؤدِّ هذا الصمت إلا إلى زيادة القلق لدى عملاء المؤسسات، الذين يعتمد كثير منهم على منصات Microsoft للتعامل مع أكثر بياناتهم حساسية.

وامتدّت التداعيات إلى ما وراء قاعدة عملاء Microsoft. فقد تحرّك قسم تقنية المعلومات في البرلمان الأوروبي، مستشهدًا بمخاطر رفع مراسلات سرّية إلى السحابة، لحظر وظائف الذكاء الاصطناعي على الأجهزة الرسمية. ويؤكد هذا التحرك السريع شعورًا متناميًا بعدم الارتياح: فمع تشابك الذكاء الاصطناعي بإحكام في نسيج أدوات الأعمال، لم يعد خطر تسريبات بيانات غير مرئية وعلى نطاق واسع افتراضيًا - بل أصبح واقعًا.

تُعد هذه الحادثة تذكيرًا صارخًا بأن التقدّم نحو إنتاجية مدفوعة بالذكاء الاصطناعي يجب أن يقترن برقابة صارمة وشفافية. ومع تحوّل أنظمة الذكاء الاصطناعي إلى حرّاس بوابات رقميين، يمكن لثغرة واحدة مُهملة أن تخلّف عواقب تمتد تموّجاتها عبر الحدود والقطاعات.

الخلاصة

خلل Copilot ليس مجرد هامش تقني - إنه طلقة تحذيرية. فكلما دعونا الذكاء الاصطناعي إلى عمق أقداس حياتنا المهنية، ازدادت الحاجة إلى اليقظة، وضمانات قوية، وإفصاح صادق أكثر إلحاحًا. وفي السباق بين الابتكار والأمن، لا مجال للاختصارات.

WIKICROOK

• Copilot AI: Copilot AI هو مساعد Microsoft للذكاء الاصطناعي في Office 365، يساعد المستخدمين على أتمتة المهام، وتعزيز الإنتاجية، وتحسين الأمن السيبراني عبر اقتراحات ذكية.
• منع فقدان البيانات (DLP): منع فقدان البيانات (DLP) هو تقنية تكتشف وتمنع المشاركة غير المصرّح بها أو تسريب البيانات الحسّاسة من المؤسسة.
• ملصقات الحساسية: تُوسِم ملصقات الحساسية رسائل البريد الإلكتروني أو المستندات لإظهار مستوى سريتها وتفعيل وسائل حماية مثل التشفير، وقيود الوصول، أو وضع العلامات المائية.
• نموذج لغوي كبير (LLM): النموذج اللغوي الكبير (LLM) هو ذكاء اصطناعي مُدرَّب على فهم النصوص وتوليدها بأسلوب شبيه بالبشر، ويُستخدم غالبًا في روبوتات الدردشة والمساعدين وأدوات المحتوى.
• الحوسبة السحابية: الحوسبة السحابية توفّر خدمات رقمية مثل التخزين والقدرة الحاسوبية عبر الإنترنت، ما يتيح للمستخدمين الوصول إلى الموارد دون بنية تحتية محلية.