هل يكشف عملاق الطائرات بدون طيار في الصين عن أمان المستخدمين بشكل غير محمي؟ استخدم Claude في الهندسة العكسية، وحصل على السيطرة على الأجهزة العالمية

المهندسون يستخدمون Claude لعكس هندسة روبوت التنظيف DJI Romo من شركة DJI، مما أدى إلى الحصول بشكل غير متوقع على السيطرة على حوالي 7000 جهاز حول العالم وخصوصية المنازل. كما تتكرر تقارير تسريب البيانات الشخصية لألعاب الذكاء الاصطناعي المصنعة في الصين، مما يثير مخاوف أمنية.

شركة DJI تثير مخاوف أمنية حول روبوت التنظيف DJI Romo

هل كنت فقط تريد التحكم في روبوت التنظيف باستخدام يد تحكم PS5، وفجأة تسيطر على سبعة آلاف جهاز حول العالم؟

في فبراير من هذا العام، كشف المهندس سامي أزدوفال لموقع The Verge أنه كان يهدف فقط إلى تجربة التحكم عن بعد في روبوت التنظيف DJI Romo الجديد باستخدام يد تحكم PS5، ثم قام باستخدام مساعد البرمجة بالذكاء الاصطناعي Claude Code لعكس هندسة بروتوكول الاتصال بين الجهاز وسحابة شركة DJI.

وعندما اتصل بتطبيقه الخاص بالخادم، اكتشف أنه لم يقتصر على التحكم في جهازه فقط، بل حصل بشكل غير متوقع على السيطرة على حوالي 7000 روبوت تنظيف من شركة DJI حول العالم.

قال أزدوفال إنه يمكنه التحكم عن بعد في هذه الروبوتات، ومشاهدتها والاستماع إليها عبر الكاميرات الحية، بل ورسم خرائط للمباني تظهر بشكل دقيق شكل وحجم كل غرفة.

اختبارات وسائل الإعلام تؤكد وجود ثغرة، ويمكن معرفة تفاصيل المنزل فقط باستخدام الرقم التسلسلي

للتحقق من ثغرة DJI Romo، طلب مراسل The Verge من زميله توماس ريكر، الذي أنهى تقييمه مؤخرًا، تزويده برقم تسلسلي مكون من 14 رقمًا لروبوت DJI Romo، واستنادًا إلى هذا الرقم، تمكن أزدوفال من العثور على الروبوت في النظام بدقة، وتحديد أنه ينظف غرفة المعيشة، وأن مستوى البطارية 80%.

المصدر: الموقع الرسمي لشركة DJI شركة DJI تثير مخاوف أمنية حول روبوت التنظيف DJI Romo

خلال بضع دقائق فقط، أرسل هذا الروبوت الموجود في بلد آخر خريطة دقيقة للمنزل وأعادها إليه. وأظهر أزدوفال للمراسل أنه تمكن من تجاوز كلمة المرور، وفتح بث الفيديو المباشر من جهازه مباشرة.

وأكد أنه لم يخترق خوادم DJI، بل استخرج بيانات اعتماد خاصة بالجهاز، فتم إرسال بيانات آلاف المستخدمين الآخرين إليه، وكل المعلومات كانت تظهر بشكل نصي واضح.

شركة DJI تعترف بمشكلة التحقق من الصلاحيات وتؤكد أنها أصلحتها

شركة DJI، وهي شركة صينية رائدة في تصنيع الطائرات بدون طيار والتقنيات، تنتج طائرات بدون طيار وكاميرات وروبوتات تنظيف، وتسيطر على حصة سوقية تتراوح بين 70% و83% في السوق المدني والتجاري.

المصدر: الموقع الرسمي لشركة DJI شركة DJI هي شركة صينية رائدة في تصنيع الطائرات بدون طيار والتقنيات

ردًا على الكشف الإعلامي عن الحادثة الأمنية، أصدر متحدث باسم DJI، ديزي كونغ، بيانًا يعترف فيه بأن الثغرة تتعلق بمشكلة في التحقق من صلاحيات الاتصال بين الجهاز والخادم، وأن الشركة اكتشفت الثغرة في أواخر يناير، وقامت في أوائل فبراير بنشر تحديثين لحل المشكلة.

وأكدت DJI أن هذه المشكلة، من الناحية النظرية، قد تسمح للآخرين بالحصول على بث الفيديو المباشر من الروبوت بدون إذن، لكن الحالة نادرة جدًا، وغالبًا ما تكون نتيجة لاختبار الباحثين الأمنيين لأجهزتهم الخاصة، وأن جميع عمليات الاتصال تستخدم تشفير TLS.

ومع ذلك، أشار الباحث الأمني كيفن فينيستير إلى أنه حتى لو كانت البيانات مشفرة أثناء النقل، فإذا كانت صلاحيات الوصول إلى الخادم غير مناسبة، يمكن للموظفين الداخليين أو العملاء المعتمدين قراءة البيانات بسهولة.

مخاوف أمنية تتعلق بألعاب الذكاء الاصطناعي المصنعة في الصين تتوالى

بالإضافة إلى روبوتات التنظيف من DJI، كشفت وسائل إعلام أجنبية مؤخرًا عن مخاوف أمنية وتعليمية تتعلق بألعاب الذكاء الاصطناعي المصنعة في الصين.

وفقًا لتقرير Wired في نهاية يناير، اكتشف الباحثان الأمنيان جوزيف ثاكر وجويل مارغوليس أن الخلفية الخاصة بشركة الألعاب الصينية Bondu تفتقر إلى الحماية، مما أدى إلى تسريب أكثر من 50 ألف سجل من بيانات الأطفال الشخصية ومحادثاتهم.

كما أشارت NBC News إلى أن الدمية Miriat، التي تصنعها شركة Miiloo الصينية، تقوم بغرس مواقف سياسية معينة في الأطفال، مثل ادعاء أن “تايوان جزء من الصين”.

كما حذرت منظمة البحوث العامة الأمريكية من أن ألعاب الذكاء الاصطناعي تفتقر إلى آليات تصفية المحتوى، مما دفع اللجنة الخاصة بمجلس النواب الأمريكي المعنية بقضايا الصين إلى إرسال خطاب إلى وزارة التعليم، محذرة من مخاطر الخصوصية والأمن القومي المرتبطة بهذه الأجهزة.

للمزيد من التفاصيل:
هل لا تزال تشتري ألعاب الذكاء الاصطناعي؟ تسريب 50 ألف سجل من بيانات الأطفال من شركة Bondu، ودمج مخلوق Miiloo لموقف “تايوان جزء من الصين”