ثغرة خطيرة في أداة Gemini CLI من "غوغل" تسمح للقراصنة بتنفيذ أوامر ضارة وسرقة البيانات
كشفت شركة الأمن السيبراني Tracebit عن ثغرة خطيرة في أداة Gemini CLI التابعة لغوغل، تسمح للمهاجمين بتنفيذ أوامر خبيثة على أجهزة المطورين دون علمهم، بما في ذلك إرسال بيانات حساسة إلى خوادم خارجية أو تنفيذ أوامر مدمّرة، مثل حذف كامل محتويات الجهاز.
وجاء هذا الكشف بعد أقل من 48 ساعة على طرح غوغل للأداة الجديدة، وهي أداة مفتوحة المصدر مخصصة لمساعدة المطورين على كتابة وتعديل الشيفرات البرمجية من خلال واجهة الأوامر الطرفية. وتعتمد الأداة على نموذج الذكاء الاصطناعي المتقدم Gemini 2.5 Pro.
بحسب التقرير الذي نشره موقع Ars Technica، فقد استغل الباحثون ثغرة من نوع حقن الأوامر غير المباشر (Indirect Prompt Injection) من خلال مستند README.md مرفق بحزمة برمجية خبيثة. هذه الأوامر بدت في ظاهرها طبيعية، لكن تم إخفاء تعليمات برمجية خبيثة داخل الملف بلغة طبيعية خدعت النموذج الذكي ونفذتها دون إذن واضح من المستخدم.
وأوضحت الشركة أن الاستغلال سمح بتنفيذ أوامر مثل env | curl لإرسال متغيرات البيئة الخاصة بالمطور، والتي قد تتضمن بيانات اعتماد حساسة، إلى خادم يتحكم فيه المهاجم. وبيّن مؤسس "Tracebit"، سام كوكس، أن نفس الهجوم يمكن توسيعه لتنفيذ أوامر مدمرة، مثل rm -rf / لحذف جميع ملفات الجهاز أو تنفيذ ما يُعرف بـ "قنبلة الفَورك" (forkbomb) التي تؤدي لانهيار النظام.
وأكد كوكس أن أدوات ذكاء اصطناعي أخرى مثل Claude من "Anthropic" وCodex من "OpenAI" لم تكن عرضة للهجوم نفسه، بفضل اعتمادها على آليات صارمة للتحقق من الأوامر.
رداً على ذلك، أصدرت غوغل تحديثاً عاجلاً للأداة (الإصدار 0.1.14) يعالج الثغرة، وصنفتها كـ "أولوية قصوى" و"شديدة الخطورة"، ما يعكس إدراكها لمدى خطورة الثغرة في حال تم استغلالها بشكل واسع.
توصية أمنية: على جميع مستخدمي Gemini CLI التحديث الفوري إلى الإصدار الأخير والتأكد من تشغيل الكود غير الموثوق به داخل بيئات معزولة (sandboxed) لحماية أجهزتهم من الهجمات المحتملة.
"Ars Technica"
جرب ميزات الذكاء الاصطناعي لدينا
اكتشف ما يمكن أن يفعله Daily8 AI من أجلك:
التعليقات
لا يوجد تعليقات بعد...
أخبار ذات صلة
الدستور
منذ 5 ساعات
- الدستور
OpenAI تزيل محادثات ChatGPT من غوغل بعد جدل حول الخصوصية
وكالات أعلنت شركة OpenAI، المطورة لتقنية ChatGPT، أنها أزالت ميزة كانت تسمح بظهور المحادثات المشتركة على محركات البحث، بعد موجة من الانتقادات والقلق المتزايد بشأن الخصوصية. وكانت الميزة، التي وُصفت بأنها "تجربة قصيرة الأجل"، تتيح للمستخدمين جعل روابط محادثاتهم قابلة للاكتشاف على الويب من خلال خيار ضمن نافذة إنشاء رابط للمحادثة، يحمل عبارة "اجعل هذه المحادثة قابلة للاكتشاف"، وهو ما سمح بظهور آلاف المحادثات في نتائج بحث غوغل. ورغم أن المحادثات المفهرسة لم تتضمن معلومات تعريفية مباشرة، فإن بعضها احتوى على تفاصيل قد تساعد في تحديد هوية المستخدمين، حسب تقرير نشرته Fast Company ونقلته Ars Technica. وأكدت الشركة أن ما حدث لا يُعد اختراقًا أمنيًا أو تسريبًا للبيانات، بل كان خيارًا متاحًا للمستخدمين ضمن إعدادات النشر، مع توضيح صغير يفيد بأن المحادثة ستكون مرئية في نتائج البحث. وقال كبير مسؤولي أمن المعلومات في OpenAI، دين ستاكي: "كنا نعتقد أن التوضيح كان كافيًا، لكن بعد تزايد الشكاوى، قررنا إزالة الخيار تمامًا لأنّه يتيح بشكل غير مقصود مشاركة معلومات لم يُقصد نشرها علنًا". وجاءت هذه الخطوة بعد أن عبّر مستخدمون عن قلقهم من استخدام روابط المشاركة في تطبيقات المراسلة أو للاحتفاظ بها لأغراض شخصية، دون إدراك أن المحادثة قد تظهر للعامة. "Fast Company"
أخبارنا
منذ 9 ساعات
- أخبارنا
"يوتيوب" تختبر ميزة على غرار "منشورات الشراكة" في "إنستغرام"
أخبارنا : بدأت منصة يوتيوب للفيديوهات، المملوكة لشركة غوغل، اختبار ميزة تعاونية جديدة تشبه ميزات في "إنستغرام" و"تيك توك" المنافسين. وأوضح أحد موظفي "غوغل" في قسم "مساعدة يوتيوب" أن هذه الميزة ستتيح لصُناع المحتوى إضافة متعاونين إلى الفيديو ليتم ترشيحم لجمهور بعضهم البعض. وهذه الميزة التجريبية متاحة حاليًا لمجموعة صغيرة من صُناع المحتوى، ولكن يبدو أن "يوتيوب" تخطط لتوسيع نطاق توفرها مستقبلًا، بحسب تقرير لموقع "Engadget" المتخصص في أخبار التكنولوجيا، اطلعت عليه "العربية Business". وستؤدي إضافة متعاونين إلى ظهور أسمائهم بجانب اسم صانع المحتوى على قنواته. وإذا كان عددهم كبيرًا، فسيظهر، على الأقل على الهاتف المحمول، اسم المتعاونين بصيغة "...والمزيد" بجوار اسم صانع المحتوى. وعند النقر على "...والمزيد" ستظهر قائمة المشاركين في صناعة هذا المحتوى، مع زر "اشتراك" بجوار أسمائهم. وعلى "إنستغرام" و"تيك توك"، يتعين على صانع المحتوى الذي يحمّل المحتوى دعوة حساب آخر كمتعاون، والذي سيوافق بدوره على الدعوة. ومن المرجح أن ينطبق هذا أيضًا على "يوتيوب"، لضمان عدم إضافة صُناع المحتوى لمستخدمين آخرين عشوائيًا إلى فيديوهاتهم. ومع ذلك، ليس من الواضح ما إذا كان بإمكان المتعاونين رؤية التفاصيل التي عادةً ما تكون حصرية لصانع المحتوى الأصلي. ومثلما هو الحال مع أي منتج تجريبي من "يوتيوب" و"غوغل"، ستأخذ الشركة ملاحظات المختبرين في الاعتبار قبل أن تقرر إطلاق الميزة على نطاق واسع. وتحمل هذه الميزة في "إنستغرام" المملوك لشركة ميتا اسم "منشورات الشراكة" (collabs) وتتيح للمستخدم التعاون مع الحسابات الأخرى في كتابة المحتوى مع إمكانية الإشارة إلى حساب آخر خاص أو عام كمساهم.
الرأي
منذ يوم واحد
- الرأي
الاتحاد الاوروبي: بدء تطبيق قواعد جديدة على نماذج الذكاء الاصطناعي
أعلن الإتحاد الأوروبي اليوم السبت دخول التزامات قانون الذكاء الاصطناعي حيز التنفيذ في مختلف أنحاء الاتحاد لتحقيق "مزيد من الشفافية والسلامة والمساءلة في تطوير واستخدام أنظمة الذكاء الاصطناعي المطروحة في الأسواق". وقالت مفوض الاتحاد لشؤون السيادة التقنية والأمن والديمقراطية، هينا فيركونن في بيان اليوم السبت إن "بدء تطبيق قانون الذكاء الاصطناعي اليوم يجعل هذه النماذج أكثر شفافية وثقة وأمانا للمستخدمين". وبحسب وكالة يورونيوز الأوروبية، تهدف القواعد الجديدة إلى ضمان توفير معلومات أوضح حول كيفية تدريب هذه النماذج وتطبيق أكثر صرامة لحماية حقوق النشر وتشجيع تطوير الذكاء الاصطناعي بطريقة مسؤولة. ويتوجب على جميع مزودي نماذج الذكاء الاصطناعي العامة ابتداء من اليوم الالتزام بمتطلبات الشفافية وحماية حقوق النشر عند طرح نماذجهم في السوق الأوروبية، بينما سيتعين على النماذج المطروحة قبل تاريخ اليوم الامتثال الكامل بحلول الثاني من آب عام 2027، وسيتوجب على مزودي النماذج المتقدمة ذات الأثر الكبير والتي تشكل "مخاطر نظامية" الالتزام بمتطلبات إضافية تشمل إخطار المفوضية وضمان سلامة النموذج وأمنه. ووقعت 26 شركة على مدونة قواعد السلوك لنماذج الذكاء الاصطناعي العامة وتشمل القائمة شركات تكنولوجيا كبرى مثل أمازون وغوغل ومايكروسوفت و "آي بي إم" بالإضافة إلى مزودي حلول ذكاء اصطناعي مثل "أوبن إيه آي" وشركة "ميسترال إيه آي"، و "ألف ألفا". وفي حال ارتكاب مخالفات قد تصل الغرامات المفروضة على أدوات الذكاء الاصطناعي العامة إلى 17 مليون دولار أو 3 بالمئة من حجم المبيعات السنوية للشركة.
