نقّادان پس از هشدار مایکروسافت مبنی بر این‌که ویژگی هوش‌مصنوعی می‌تواند دستگاه‌ها را آلوده‌ کند و داده‌های حساس را سرقت کند، به تمسخر می‌پردازند

از /

یکپارچه‌سازی Copilot Actions در ویندوز به‌صورت پیش‌فرض غیرفعال است، اما این وضعیت تا چه مدت ادامه خواهد یافت؟


هشدار مایکروسافت که روز سه‌شنبه درباره این‌که یک عامل هوش‌مصنوعی آزمایشی یکپارچه‌شده در ویندوز می‌تواند دستگاه‌ها را آلوده کرده و داده‌های حساس کاربران را سرقت کند، واکنش آشنای منتقدان امنیت‌محور را برانگیخت: چرا شرکت‌های بزرگ فناوری این‌قدر مداوم به‌سوی ارائه ویژگی‌های جدید می‌روند در حالی که رفتارهای خطرناک آن‌ها هنوز به‌طور کامل درک و مهار نشده‌اند؟

طبق گزارش روز سه‌شنبه، مایکروسافت Copilot Actions را معرفی کرد؛ مجموعه‌ای جدید از «ویژگی‌های آزمایشی عامِل» که هنگامی که فعال شود، «کارهای روزمره‌ای مانند سازماندهی فایل‌ها، برنامه‌ریزی جلسات یا ارسال ایمیل‌ها» را انجام می‌دهد و «یک همیار دیجیتال فعال فراهم می‌کند که می‌تواند کارهای پیچیده را برای شما انجام دهد تا بهره‌وری و کارآیی را ارتقا بخشد».

توهم‌ها و تزریق پرامپت

اما این هیاهو با یک نکتهٔ مهم همراه بود. مایکروسافت توصیه کرد کاربران Copilot Actions را تنها زمانی فعال کنند که «پیامدهای امنیتی مطرح‌شده را درک کنند».

این هشدار بر پایهٔ نقص‌های شناخته‌شده‌ای است که در اکثر مدل‌های زبانی بزرگ، از جمله Copilot، وجود دارد و پژوهشگران این نکته را بارها نشان داده‌اند.

یک نقص رایج در مدل‌های زبانی بزرگ این است که پاسخ‌های نادرست و غیرمنطقی ارائه می‌دهند، حتی به سؤالات ابتدایی‌ترین. این تمایل به توهم، که به این رفتار توهم‌پذیری نیز گفته می‌شود، به این معنی است که کاربران نمی‌توانند به خروجی‌های Copilot، Gemini، Claude یا هر دستیار هوش‌مصنوعی دیگری اعتماد کنند و باید به‌صورت مستقل صحت آن‌ها را تأیید کنند.

یکی دیگر از مشکلات رایج در مدل‌های زبانی بزرگ، تزریق پرامپت است؛ نوعی اشکالی که به هکرها اجازه می‌دهد دستورات مخرب را در وب‌سایت‌ها، رزومه‌ها و ایمیل‌ها قرار دهند. مدل‌های زبانی به‌گونه‌ای برنامه‌ریزی شده‌اند که به سرعت دستورات را اجرا می‌کنند و نمی‌توانند تشخیص دهند که کدام دستورات در پرامپت‌های معتبر کاربر قرار دارند و کدام در محتوای غیرقابل اعتماد تولیدشده توسط مهاجمان. در نتیجه، مدل‌های زبانی همان‌احترامی را که به کاربران می‌دهند، به مهاجمان نیز می‌گذارند.

هر دو نقص می‌توانند در حملاتی که داده‌های حساس را استخراج می‌کنند، کد مخرب اجرا می‌سازند و ارزهای دیجیتال را می‌دزدند، مورد سوءاستفاده قرار گیرند. تا به‌حال، این آسیب‌پذیری‌ها برای توسعه‌دهندگان غیرقابل پیشگیری بوده‌اند و در بسیاری از موارد، تنها با راه‌حل‌های خاص برای هر اشکال که پس از کشف آسیب‌پذیری ایجاد می‌شوند، قابل رفع هستند.

این مسأله منجر به افشای بسیار چشمگیر در پست مایکروسافت در روز سه‌شنبه شد:

«با معرفی این قابلیت‌ها، مدل‌های هوش‌مصنوعی همچنان با محدودیت‌های عملکردی در رفتار خود مواجه هستند و گاهی ممکن است توهم‌پذیری نشان دهد و خروجی‌های غیرمنتظره تولید کند»، مایکروسافت گفت. «علاوه بر این، برنامه‌های هوش‌مصنوعی عامِل خطرهای امنیتی نوینی معرفی می‌کنند؛ از جمله تزریق متقابل پرامپت (XPIA)، که در آن محتوای مخرب جاسازی‌شده در عناصر رابط کاربری یا اسناد می‌تواند دستورهای عامل را نادیده بگیرد و منجر به اقدامات ناخواسته‌ای مانند استخراج داده یا نصب بدافزار شود.»

مایکروسافت اعلام کرد که تنها کاربران باتجربه باید Copilot Actions را فعال کنند؛ این ویژگی در حال حاضر فقط در نسخه‌های بتای ویندوز در دسترس است. با این حال، شرکت توضیح نداد که چه نوع آموزش یا تجربه‌ای برای این کاربران مورد نیاز است و چه اقداماتی باید برای جلوگیری از به‌حالت آمدن دستگاه‌هایشان انجام دهند. من از مایکروسافت درخواست جزئیات این موارد را کردم، اما شرکت آن را رد کرد.

مانند «ماکروهای مخدر قهرمانان مارول»

برخی از کارشناسان امنیتی ارزش هشدارهای موجود در پست روز سه‌شنبه را زیر سؤال بردند و این هشدارها را با هشدارهای مایکروسافت که طی دهه‌ها درباره خطر استفاده از ماکروها در برنامه‌های Office ارائه می‌شد مقایسه کردند. با وجود این توصیه‌های طولانی‌مدت، ماکروها همچنان یکی از هدف‌های ساده‌دسترس برای هکرها به‌منظور نصب مخفیانه بدافزار بر روی دستگاه‌های ویندوز باقی مانده‌اند. یکی از دلایل این مسأله این است که مایکروسافت ماکروها را به‌قدری به‌مرکز بهره‌وری تبدیل کرده که بسیاری از کاربران بدون آن‌ها کار نمی‌توانند انجام دهند.

«مایکروسافت گفتن «ماکروها را فعال نکنید؛ خطرناک‌اند» … هرگز به‌خوبی کار نکرد»، پژوهشگر مستقل کوین بومونت گفت. «این همان ماکروهای مخدر قهرمانان مارول است.»

بومونت، که به‌طور منظم برای پاسخ به نقض‌های بزرگ شبکه ویندوز در سازمان‌ها استخدام می‌شود، همچنین سؤال کرد که آیا مایکروسافت راه‌حلی برای مدیران فراهم می‌کند تا بتوانند Copilot Actions را به‌طور کافی بر روی دستگاه‌های کاربران نهایی محدود کنند یا دستگاه‌های موجود در یک شبکه که این ویژگی را فعال کرده‌اند شناسایی نمایند.

سخنگوی مایکروسافت اعلام کرد که مدیران فناوری اطلاعات می‌توانند فضای کاری عامل را هم در سطح حساب‌کاربری و هم در سطح دستگاه فعال یا غیرفعال کنند، با استفاده از Intune یا سایر برنامه‌های مدیریت دستگاه‌های موبایل (MDM).

منتقدان نگرانی‌های دیگری نیز مطرح کردند، از جمله دشواری حتی برای کاربران باتجربه در تشخیص حملات سوءاستفاده‌ای که هدف آن‌ها عوامل هوش‌مصنوعی مورد استفاده‌شان است.

«نمی‌توانم تصور کنم چگونه کاربران می‌توانند چیزی که اشاره می‌شود را پیشگیری کنند، جز شاید خودداری از مرور وب»، پژوهشگر گیلوم راسولینی گفت.

مایکروسافت تأکید کرد که Copilot Actions یک ویژگی آزمایشی است که به‌صورت پیش‌فرض غیرفعال است. این طراحی احتمالاً به‌منظور محدود کردن دسترسی به کاربرانی است که تجربه کافی برای درک ریسک‌های آن را دارند. اما منتقدان خاطرنشان کردند که ویژگی‌های آزمایشی پیشین — برای مثال Copilot — به‌طور معمول به‌مرور زمان به‌عنوان قابلیت پیش‌فرض برای همه کاربران تبدیل می‌شوند. پس از این‌که این اتفاق می‌افتد، کاربرانی که به این ویژگی اعتماد ندارند، غالباً مجبور می‌شوند زمان صرف کنند تا روش‌های غیرپشتیبانی‌شده برای حذف این ویژگی‌ها را توسعه دهند.

اهداف معقول اما بلندپروازانه

بخش عمده‌ای از پست روز سه‌شنبه بر استراتژی کلی مایکروسافت برای ایمن‌سازی ویژگی‌های عامِل در ویندوز متمرکز بود. اهداف چنین ویژگی‌هایی شامل موارد زیر است:

  • عدم انکار؛ به این معنی که تمام اقدامات و رفتارها باید «قابل مشاهده و قابل تمایز از اقداماتی باشد که توسط کاربر انجام شده‌اند»
  • عامل‌ها باید هنگام جمع‌آوری، تجمیع یا استفاده دیگر از داده‌های کاربر، محرمانگی آن‌ها را حفظ کنند
  • عامل‌ها باید پیش از دسترسی به داده‌های کاربر یا انجام هر اقدام، تأیید کاربر را دریافت کنند

این اهداف منطقی هستند، اما در نهایت وابسته به این هستند که کاربران پنجره‌های گفت‌وگو که خطرات را هشدار می‌دهند را مطالعه کنند و پیش از ادامه، موافقت دقیقی ارایه دهند. این امر به‌نوبه خود ارزش محافظت را برای بسیاری از کاربران کاهش می‌دهد.

«هشدار معمولی که به چنین مکانیزم‌هایی اعمال می‌شود این است که بستگی به این دارد که کاربران از طریق تأیید یک درخواست مجوز کلیک کنند»، ارلنس فرناندس، استاد دانشگاه کالیفرنیا، سن دیگو، متخصص در امنیت هوش‌مصنوعی، به Ars گفت. «گاهی این کاربران به‌طور کامل درک نمی‌کنند چه اتفاقی در حال رخ دادن است، یا ممکن است عادت کنند که همیشه روی «بله» کلیک کنند. در این صورت، مرز امنیتی دیگر در واقع مرزی نیست».

همان‌گونه که موجی از حملات «ClickFix» نشان داد، بسیاری از کاربران می‌توانند به سادگی فریب خورده و دستورالعمل‌های بسیار خطرناک را اجرا کنند. در حالی که کاربران باتجربه‌تر (از جمله تعداد قابل‌توجهی از کامنت‌گذاران Ars) مسئولیت قربانیان این کلاهبرداری‌ها را می‌دانند، این حوادث به دلایل متعددی اجتناب‌ناپذیرند. در برخی موارد حتی کاربران محتاط نیز به دلیل خستگی یا فشارهای عاطفی دچار لغزش می‌شوند. برخی دیگر به سادگی دانش کافی برای اتخاذ تصمیمات آگاهانه را ندارند.

هشدار مایکروسافت، به گفته یک منتقد، چیزی جز یک CYA (به معنای پوشش خود) نیست؛ یک تدبیر قانونی که سعی در محافظت از یک طرف در برابر مسئولیت دارد.

«مایکروسافت (همچون بقیه صنعت) هیچ ایده‌ای برای متوقف کردن تزریق پرامپت یا توهم‌ها ندارد، که این باعث می‌شود آن به‌طور اساسی برای تقریباً هر کاربرد جدی نامناسب باشد»، منتقد رید میدکه گفت. «راه‌حل؟ انتقال مسئولیت به کاربر. همان‌طور که هر ربات‌چت LLM دارای یک اعلان «به‌هرحال، اگر این را برای کاری مهم استفاده می‌کنید، حتماً پاسخ‌ها را تأیید کنید» است، بدون در نظر گرفتن این‌که اگر پاسخ را می‌دانستید، اصلاً به ربات‌چت نیازی نداشتید.»

همان‌طور که میدکه اشاره کرد، اکثر انتقادات به سرویس‌های هوش‌مصنوعی شرکت‌های دیگر — از جمله اپل، گوگل و متا — که در محصولات خود ادغام می‌کنند نیز گسترش می‌یابد. این ادغام‌ها معمولاً به‌عنوان ویژگی‌های اختیاری آغاز می‌شوند و در نهایت به‌عنوان قابلیت‌های پیش‌فرض برای همه کاربران، صرف‌نظر از تمایل آن‌ها، در می‌آیند.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا