كما الباحثين و يناقش الممارسون تأثير نماذج الذكاء الاصطناعي الجديدة على الأمن السيبراني، قالت موزيلا يوم الثلاثاء إنها استخدمت الوصول المبكر إلى Anthropic’s Mythos Preview للعثور على 271 نقطة ضعف وإصلاحها في إصدار متصفح Firefox 150 الجديد. وفي الوقت نفسه، حدد الباحثون مجموعة من المتسللين الكوريين الشماليين الناجحين إلى حد ما الذين يستخدمون الذكاء الاصطناعي في كل شيء بدءًا من البرامج الضارة للتشفير إلى إنشاء مواقع ويب مزيفة للشركة، حيث قاموا بسرقة ما يصل إلى 12 مليون دولار في ثلاثة أشهر.
تمكن الباحثون أخيراً من فك البرمجيات الخبيثة التخريبية المعروفة باسم Fast16 والتي سبقت فيروس Stuxnet وربما تم استخدامها لاستهداف البرنامج النووي الإيراني. تم إنشاؤه في عام 2005 ومن المحتمل أن تكون الولايات المتحدة أو أحد حلفائها قد نشرته.
يتم رفع دعوى قضائية ضد Meta من قبل اتحاد المستهلكين الأمريكي، وهي منظمة غير ربحية، بسبب الإعلانات الاحتيالية على Facebook وInstagram ويزعم أنها تضلل المستهلكين حول جهود الشركة لمكافحتها. أصبح برنامج المراقبة الأمريكي الذي يسمح لمكتب التحقيقات الفيدرالي بالاطلاع على اتصالات الأمريكيين دون أمر قضائي قيد التجديد، لكن المشرعين وصلوا إلى طريق مسدود بشأن الخطوات التالية. يهدف مشروع القانون الجديد إلى معالجة المخاوف المتزايدة لدى المشرعين، لكنه يفتقر إلى الجوهر.
وإذا كنت تبحث عن نظرة عميقة، فقد قامت WIRED بالتحقيق في الخلاف المستمر منذ سنوات وراء نظام تشغيل الهاتف المحمول البارز الذي يهتم بالخصوصية والأمان GrapheneOS. بالإضافة إلى ذلك، نظرنا إلى القصة الغريبة لكيفية تجسس الصين على المتزلجة الأمريكية أليسا ليو ووالدها.
وهناك المزيد. نقوم كل أسبوع بتجميع أخبار الأمان والخصوصية التي لم نقم بتغطيتها بعمق بأنفسنا. انقر على العناوين لقراءة القصص الكاملة. والبقاء آمنا هناك.
تم وصف نموذج Mythos Preview AI من Anthropic باعتباره أداة ذات قدرة خطيرة على اكتشاف الثغرات الأمنية في البرامج والشبكات، وهي قوية جدًا لدرجة أن منشئها قام بتقييد إصدارها بعناية. لكن مجموعة من المحققين الهواة على Discord وجدت طرقًا خاصة بهم وبسيطة نسبيًا – لا تتطلب اختراق الذكاء الاصطناعي – للوصول غير المصرح به إلى الجائزة الرقمية المرغوبة: Mythos نفسها.
على الرغم من جهود Anthropic للتحكم في من يمكنه استخدام Mythos Preview، فقد تمكنت مجموعة من مستخدمي Discord من الوصول إلى الأداة من خلال بعض الأعمال البوليسية المباشرة نسبيًا: فقد قاموا بفحص البيانات من الاختراق الأخير لـ Mercor، وهي شركة ناشئة لتدريب الذكاء الاصطناعي تعمل مع المطورين، و”قدموا تخمينًا مدروسًا حول موقع النموذج عبر الإنترنت بناءً على المعرفة حول التنسيق الذي استخدمته Anthropic لنماذج أخرى” – وهي عبارة تكهن العديد من المراقبين بأنها تشير إلى عنوان URL على الويب – وفقًا لبلومبرج، الذي كشف القصة.
وبحسب ما ورد استفاد هذا الشخص أيضًا من الأذونات التي كان يمتلكها بالفعل للوصول إلى نماذج أنثروبي أخرى، وذلك بفضل عملهم في شركة مقاولات أنثروبي. ومع ذلك، نتيجة للتحقيق، يُزعم أنهم تمكنوا من الوصول ليس فقط إلى Mythos ولكن أيضًا إلى نماذج الذكاء الاصطناعي الأنثروبي الأخرى التي لم يتم إصدارها. ولحسن الحظ، وفقًا لبلومبرج، فإن المجموعة التي تمكنت من الوصول إلى Mythos لم تستخدمه حتى الآن إلا لبناء مواقع ويب بسيطة – وهو قرار مصمم لمنع اكتشافه بواسطة Anthropic – بدلاً من اختراق الكوكب.
لقد حذر الباحثون الأمنيون منذ فترة طويلة من أن بروتوكولات الاتصالات المعروفة باسم Signaling System 7، أو SS7، والتي تحكم كيفية اتصال شبكات الهاتف ببعضها البعض وتوجيه المكالمات والرسائل النصية، معرضة لإساءة الاستخدام التي من شأنها أن تسمح بالمراقبة الخفية. كشف باحثون في منظمة الحقوق الرقمية Citizen Lab هذا الأسبوع أن اثنين على الأقل من بائعي المراقبة الربحيين قد استخدموا بالفعل نقاط الضعف هذه – أو ما شابه ذلك في الجيل التالي من بروتوكولات الاتصالات – للتجسس على ضحايا حقيقيين. ووجدت شركة سيتيزن لاب أن شركتين للمراقبة عملتا بشكل أساسي كشركات اتصالات مارقة، مستغلتين الوصول إلى ثلاث شركات اتصالات صغيرة – شركة الاتصالات الإسرائيلية 019Mobile، ومزود الخدمة الخلوية البريطاني Tango Mobile، وشركة Airtel Jersey، ومقرها في جزيرة جيرسي في القناة الإنجليزية – لتتبع موقع هواتف الأهداف. يقول باحثو سيتيزن لاب إن الأشخاص “البارزين” تم تعقبهم من قبل شركتي المراقبة، على الرغم من رفضهم تسمية الشركتين أو أهدافهم. ويحذر الباحثون أيضًا من أن الشركتين اللتين اكتشفا إساءة استخدام البروتوكولات ليستا وحدهما على الأرجح، وأن ضعف بروتوكولات الاتصالات العالمية يظل ناقلًا حقيقيًا للغاية للتجسس الهاتفي في جميع أنحاء العالم.
في إشارة إلى حملة القمع المتزايدة – وإن كانت متأخرة – التي تشنها سلطات إنفاذ القانون الأمريكية على الصناعة الإجرامية المترامية الأطراف لمجمعات الاحتيال التي تغذيها الاتجار بالبشر في جميع أنحاء جنوب شرق آسيا، أعلنت وزارة العدل هذا الأسبوع عن اتهامات ضد رجلين صينيين بزعم المساعدة في إدارة مجمع احتيال في ميانمار والسعي لفتح مجمع ثان في كمبوديا. تم القبض على كل من جيانغ وين جي وهوانغ شينغشان في تايلاند في وقت سابق من هذا العام بتهم تتعلق بالهجرة، وفقًا للمدعين العامين، ويواجهان الآن اتهامات بإدارة عملية احتيال واسعة النطاق جذبت ضحايا الاتجار بالبشر إلى مجمعهم بعروض عمل مزيفة ثم أجبرتهم على احتيال الضحايا، بما في ذلك الأمريكيين، مقابل ملايين الدولارات من خلال استثمارات احتيالية في العملات المشفرة. وتقول وزارة العدل إنها قامت أيضًا “بتقييد” 700 مليون دولار من الأموال التابعة للعملية – حيث تم تجميد الأموال بشكل أساسي استعدادًا للمصادرة – كما صادرت قناة على تطبيق المراسلة Telegram يقول المدعون العامون إنها كانت تستخدم لإغراء واستعباد ضحايا الاتجار بالبشر. ويزعم بيان وزارة العدل أن هوانج شارك شخصيا في العقاب الجسدي للعمال في أحد المجمعات، وأن جيانغ أشرف في وقت ما على سرقة 3 ملايين دولار من ضحية احتيال أمريكية واحدة.
كشفت الحكومة البريطانية وبنك UK Biobank غير الربحي هذا الأسبوع أن ثلاث مؤسسات بحثية علمية تبيع معلومات صحية لمواطنين بريطانيين على موقع علي بابا. على مدى العقدين الماضيين، شارك أكثر من 500 ألف شخص بياناتهم الصحية – بما في ذلك الصور الطبية والمعلومات الجينية وسجلات الرعاية الصحية – مع البنك الحيوي في المملكة المتحدة، والذي يسمح للعلماء في جميع أنحاء العالم بالوصول إلى المعلومات لإجراء البحوث الطبية. ومع ذلك، قالت المؤسسة الخيرية إن تسرب البيانات ينطوي على “خرق للعقد” الذي وقعته ثلاث منظمات، حيث يُعتقد أن إحدى مجموعات البيانات المعروضة للبيع تضمنت بيانات عن جميع المشاركين البحثيين البالغ عددهم نصف مليون. ولم تقدم تفاصيل عن الأنواع الكاملة للبيانات التي تم إدراجها للبيع، لكنها قالت إنها علقت حسابات Biobank لأولئك الذين يزعم أنهم يبيعون المعلومات. تمت أيضًا إزالة الإعلانات الخاصة بالبيانات.
في وقت سابق من هذا الشهر، أفادت 404 Media أن مكتب التحقيقات الفيدرالي تمكن من الحصول على نسخ من رسائل Signal من هاتف iPhone الخاص بالمدعى عليه، حيث تم حفظ محتوى الرسائل، التي تم تشفيرها داخل Signal، في قاعدة بيانات إشعارات الدفع لنظام iOS. في هذه الحالة، لا يزال من الممكن الوصول إلى نسخ الرسائل على الرغم من إزالة تطبيق Signal من الهاتف، على الرغم من أن المشكلة أثرت على جميع التطبيقات التي ترسل إشعارات الدفع.
هذا الأسبوع، ردًا على هذه المشكلة، أصدرت Apple تحديثًا أمنيًا لنظامي iOS وiPadOS لإصلاح الخلل. يقول التحديث الأمني من Apple لنظام التشغيل iOS 26.4.2: “قد يتم الاحتفاظ بالإشعارات التي تم وضع علامة عليها للحذف بشكل غير متوقع على الجهاز”. “تمت معالجة مشكلة التسجيل من خلال تنقيح البيانات المحسّن.”
على الرغم من إصلاح المشكلة، إلا أنه لا يزال من المفيد تغيير ما يظهر في الإشعارات على جهازك. بالنسبة لتطبيق Signal، يمكنك فتح التطبيق، انتقل إلى إعدادات, إشعارات، وقم بتبديل الإشعارات لإظهارها الاسم فقط أو لا يوجد اسم أو محتوى. وهذا تذكير آخر بأنه على الرغم من أن تطبيقات مثل Signal تكون مشفرة من طرف إلى طرف، فإن هذا ينطبق على المحتوى أثناء انتقاله بين الأجهزة: إذا كان بإمكان شخص ما الوصول فعليًا إلى هاتفك وفتحه، فمن المحتمل أن يتمكن من الوصول إلى كل شيء على جهازك.
