عن طريق الخطأ.. باحثو الذكاء الاصطناعي في مايكروسوفت يكتشفون بيانات صادمة!

كشف باحثو الذكاء الاصطناعي في مايكروسوفت عن طريق الخطأ عن عشرات التيرابايت من البيانات الحساسة، بما في ذلك المفاتيح الخاصة وكلمات المرور، أثناء نشر مجموعة تخزين من بيانات التدريب مفتوحة المصدر على GitHub.

في بحث تمت مشاركته مع TechCrunch، قالت شركة Wiz الناشئة في مجال الأمن السحابي إنها اكتشفت مستودع GitHub التابع لقسم أبحاث الذكاء الاصطناعي في مايكروسوفت كجزء من عملها المستمر في التعرض العرضي للبيانات المستضافة على السحابة.

تم توجيه قراء مستودع GitHub، الذي يوفر تعليمات برمجية مفتوحة المصدر ونماذج الذكاء الاصطناعي للتعرف على الصور، إلى تنزيل النماذج من عنوان URL الخاص بـ Azure Storage. ومع ذلك، اكتشفت Wiz أن عنوان URL هذا قد تم تكوينه لمنح الأذونات على حساب التخزين بالكامل، مما يؤدي إلى الكشف عن بيانات خاصة إضافية عن طريق الخطأ.

وتضمنت هذه البيانات 38 تيرابايت من المعلومات الحساسة، بما في ذلك النسخ الاحتياطية الشخصية لجهازي كمبيوتر شخصيين اثنين من موظفي مايكروسوفت. وتضمنت البيانات أيضًا بيانات شخصية حساسة أخرى، بما في ذلك كلمات المرور لخدمات مايكروسوفت والمفاتيح السرية وأكثر من 30 ألف رسالة مايكروسوفت تيمز داخلية من مئات موظفي مايكروسوفت.

تم أيضًا تكوين عنوان URL، الذي كشف هذه البيانات منذ عام 2020، بشكل خاطئ للسماح بـ “التحكم الكامل” بدلاً من أذونات “القراءة فقط”، وفقًا لـ Wiz، مما يعني أن أي شخص يعرف مكان البحث يمكنه حذف المحتوى الضار واستبداله وإدخال محتوى خبيث فيها.

تلاحظ Wiz أن حساب التخزين لم يتم كشفه بشكل مباشر. وبدلاً من ذلك، قام مطورو Microsoft AI بتضمين رمز مميز لتوقيع الوصول المشترك (SAS) شديد التساهل في عنوان URL. إن رموز SAS هي آلية تستخدمها Azure وتسمح للمستخدمين بإنشاء روابط قابلة للمشاركة تمنح الوصول إلى بيانات حساب Azure Storage.

وقال آمي لوتواك، المؤسس المشارك لشركة Wiz ومدير التكنولوجيا التنفيذي، لـ TechCrunch: “يفتح الذكاء الاصطناعي إمكانات هائلة لشركات التكنولوجيا. ومع ذلك، بينما يتسابق علماء ومهندسو البيانات لتقديم حلول جديدة للذكاء الاصطناعي للإنتاج، فإن الكميات الهائلة من البيانات التي يتعاملون معها تتطلب فحوصات وضمانات أمنية إضافية. ومع احتياج العديد من فرق التطوير إلى التعامل مع كميات هائلة من البيانات، أو مشاركتها مع أقرانهم أو التعاون في مشاريع عامة مفتوحة المصدر، تزداد صعوبة مراقبة الحالات المشابهة لحالة مايكروسوفت وتجنبها”.

قالت Wiz إنها شاركت النتائج التي توصلت إليها مع مايكروسوفت في 22 يونيو، وقد ألغت مايكروسوفت رمز SAS بعد يومين في 24 يونيو. وقالت مايكروسوفت إنها أكملت تحقيقها بشأن التأثير التنظيمي المحتمل في 16 أغسطس.

وفي منشور مدونة تمت مشاركته مع TechCrunch قبل النشر، قال مركز الاستجابة الأمنية التابع لشركة مايكروسوفت: “لم يتم الكشف عن أي بيانات للعملاء، ولم تتعرض أي خدمات داخلية أخرى للخطر بسبب هذه المشكلة”.

قالت مايكروسوفت إنه نتيجة لأبحاث Wiz، قامت بتوسيع خدمة الامتداد السرية لـ GitHub، والتي تراقب جميع التغييرات العامة في التعليمات البرمجية مفتوحة المصدر للكشف عن نص عادي لبيانات الاعتماد والأسرار الأخرى لتشمل أي رمز SAS مميز قد يكون له فترات انتهاء صلاحية أو امتيازات مفرطة.