نتيجة التحقيق في ثغرات تطبيقات الذكاء الاصطناعي على Google Play
فحص الباحثون 1.8 مليون تطبيق أندرويد على متجر Google Play، وحددوا 38,630 تطبيقًا مدعومًا بالذكاء الاصطناعي، ثم فحصوا الأكواد الداخلية للكشف عن بيانات اعتماد مسربة وإشارات لخدمات سحابية. وكانت النتيجة صادمة: حوالي 72% من التطبيقات التي تم تحليلها تحتوي على أسرار مدمجة مباشرة في الكود، وبمعدل تسريب يقارب 5.1 أسرار لكل تطبيق متأثر.
أسرار مدمجة في الكود
أشارت النتائج إلى وجود 197,092 سرًا فريدًا، ما يبرز أن ممارسات الترميز غير الآمنة لا تزال منتشرة رغم التحذيرات الطويلة. وأكثر من 81% من الأسرار المرتبطة ببنية Google Cloud، مثل معرفات المشاريع ومفاتيح API وقواعد بيانات Firebase وأحواض التخزين. تم رصد 26,424 نقطة نهاية لـ Google Cloud مدمجة في الأكواد، ومع ذلك كان حوالي ثلثها مرتبطًا ببنية تحتية لم تعد موجودة. من بين النقاط المتبقية، كانت 8,545 أحواض تخزين لا تزال موجودة وتطلب مصادقة، بينما كانت المئات الأخرى مضبوطة بشكل خاطئ ومفتوحة للعامة، ما قد يعرض أكثر من 200 مليون ملف، بإجمالي يصل إلى حوالي 730 تيرابايت من بيانات المستخدمين.
قواعد بيانات غير محمية
كشفت النتائج عن 285 قاعدة بيانات Firebase بلا أضوابط مصادقة، مسربة ما لا يقل عن 1.1 جيجابايت من بيانات المستخدمين. وفي 42% من هذه القواعد، وجِدَت جداول نموذجية تشير إلى وجود اختراق سابق من قبل مهاجمين. واحتوت قواعد أخرى على حسابات إدارية مرتبطة بعناوين بريد إلكتروني بأسلوب المهاجم، ما يشير إلى أن الاستغلال لم يكن نظريًا بل قائمًا. وظلت الكثير من القواعد غير محمية رغم وجود إشارات على التسلل، ما يدل على ضعف المراقبة أكثر من خطأ عابر.
مفاتيح الذكاء الاصطناعي وأدوات الدفع
كشفت النتائج أن مفاتيح واجهات برمجة التطبيقات للنماذج اللغوية الكبرى كانت قليلة، وظهرت فقط مع مزودي خدمات رئيسيين مثل OpenAI وGoogle Gemini وClaude. وفي التكوينات المعتادة، تسمح هذه المفاتيح بتقديم طلبات جديدة، لكنها لا تمنح وصولًا إلى المحادثات المخزنة أو المطالبات السابقة. وكانت أخطر الثغرات مرتبطة بالبنية التحتية للدفع المباشر، مثل مفاتيح Stripe المسربة التي تمنح السيطرة الكاملة على أنظمة الدفع. كما أسهمت بيانات اعتماد أخرى في الوصول إلى منصات الاتصالات والتحليلات وبيانات العملاء، ما يسمح بانتحال هوية التطبيق أو استخراج البيانات دون إذن.
