يكشف التقرير أن 70% من أعباء العمل السحابية التي تستخدم خدمات الذكاء الاصطناعي تحتوي على ثغرات أمنية غير معالجة.
كتب : اسلام توفيق
كشفت شركة تينابل Tenable®، المتخصصة في إدارة التعرض للمخاطر، اليوم عن إصدار تقرير Cloud AI Risk لعام 2025، الذي كشف أن الذكاء الاصطناعي القائم على السحابة معرض لمجموعات ضارة يمكن تجنبها، مما يترك البيانات والنماذج الحساسة عرضة للتلاعب والتعديل والتسريب.
تُعد السحابة والذكاء الاصطناعي عاملين حاسمين في تغيير قواعد اللعبة للشركات. ومع ذلك، فإن الجمع بينهما يؤدي إلى مخاطر إلكترونية معقدة. يسلط تقرير Cloud AI Risk لعام 2025 الضوء على الوضع الحالي لمخاطر الأمان في أدوات تطوير الذكاء الاصطناعي السحابية وأُطر العمل، فضلاً عن خدمات الذكاء الاصطناعي التي يوفرها كبار مزودي الخدمات السحابية الثلاثة—Amazon Web Services (AWS) وGoogle Cloud Platform (GCP) وMicrosoft Azure. وتتضمن النتائج الرئيسية للتقرير ما يلي:
● أعباء عمل الذكاء الاصطناعي السحابي ليست محصنة ضد الثغرات الأمنية: يحتوي ما يقرب من 70% منها على ثغرة واحدة على الأقل لم تتم معالجتها. على وجه الخصوص، وجدت Tenable Research ثغرة CVE-2023-38545— وهي ثغرة أمنية خطيرة - في 30% من أعباء عمل الذكاء الاصطناعي السحابي.
● توجد أخطاء في تكوينات السحابة على غرار Jenga®️-style1 في خدمات الذكاء الاصطناعي المُدارة: 77% من المؤسسات لديها حساب خدمة محرك الحوسبة الافتراضي المزود بامتيازات كبيرة تم تكوينه في Google Vertex AI Notebooks. ويعني هذا أن جميع الخدمات المبنية على محرك الحوسبة الافتراضي هذا معرضة للخطر.
● بيانات تدريب الذكاء الاصطناعي معرضة للخطر، مما يُهدد بتحريف نتائج النموذج: 14% من المؤسسات التي تستخدم Amazon Bedrock لا تحظر صراحةً الوصول العام إلى حزمة واحدة على الأقل من حزم تدريب الذكاء الاصطناعي و5% لديها حزمة واحدة على الأقل ذات امتيازات زائدة.
● تمنح مثيلات دفتر ملاحظات Amazon SageMaker حق الوصول للجذر بشكل افتراضي: نتيجة لذلك، يمتلك 91% من مستخدمي Amazon SageMaker دفتر ملاحظات واحد على الأقل، قد يمنح حق الوصول غير المصرح به في حالة تعرضه للخطر، مما قد يؤدي إلى إجراء تعديل محتمل لجميع الملفات الموجودة عليه.
"عندما نتحدث عن استخدام الذكاء الاصطناعي في السحابة، فإن الأمر لا يقتصر فقط على البيانات الحساسة. قالت ليات هايون، نائب الرئيس للأبحاث وإدارة المنتجات والأمن السحابي في شركة تينابل : "إذا تلاعب ممثل تهديد بالبيانات أو نموذج الذكاء الاصطناعي، فقد ينجم عن ذلك عواقب وخيمة طويلة المدى، مثل المساس بسلامة البيانات، وتهديد أمن الأنظمة المهمة، وتدهور ثقة العملاء". "يجب أن تتطور تدابير أمان السحابة لمواجهة التحديات الجديدة للذكاء الاصطناعي وتحقيق التوازن الدقيق بين الحماية من الهجمات المعقدة على بيانات الذكاء الاصطناعي وتمكين المؤسسات من تحقيق الابتكار المسؤول للذكاء الاصطناعي."
يحدد مفهوم Jenga، الذي صاغته شركة Tenable، ميل مزودي الخدمات السحابية إلى تصميم خدمة واحدة فوق أخرى، مع وجود كتل بناء "خلف الكواليس" تحصل على الإعدادات الافتراضية المحفوفة بالمخاطر من طبقة إلى أخرى. ويمكن أن يكون لمثل هذه التكوينات الخاطئة للسحابة، وخاصة في بيئات الذكاء الاصطناعي، آثار خطيرة في حالة استغلالها.
