لطالما ارتبطت المخاوف حول قدرة الذكاء الاصطناعي على القرصنة الذاتية بسيناريوهات كارثية، كسرقة رموز الإطلاق النووي أو تصفير أرصدة البنوك. إلا أن الواقع أظهر أن استغلال هذه القدرات قد يكون أكثر بساطة ومباشرة: مثل المطالبة بوصول مسؤول مميز إلى نظام تذاكر إلكتروني، ومن ثم إصدار تصاريح مجانية لكبار الشخصيات خلف الكواليس لجميع المهرجانات الموسيقية الكبرى.
هذا ما كشفه الباحث الأمني إيان كارول، الذي استخدم نموذج الذكاء الاصطناعي Claude Opus 4.7 في أبريل الماضي لاكتشاف ثغرة تقنية منحته وصولاً كاملاً إلى أنظمة Front Gate Tickets. هذه الشركة هي المسؤولة عن إصدار التذاكر لما يقارب جميع المهرجانات الموسيقية الكبرى في الولايات المتحدة، من Lollapalooza وSouth by Southwest إلى Austin City Limits. وقد تبين لكارول أن Front Gate، التابعة لشركة Live Nation Entertainment (المالكة لـ Ticketmaster)، كانت تعاني من خطأ برمجي في موقعها يمكن استغلاله – بمساعدة كلود – للوصول إلى ملايين سجلات العملاء والموظفين، بالإضافة إلى القدرة على إصدار تذاكر مجانية لأي حدث، وبأي قيمة، سواء لنفسه أو لأي شخص يختاره.
وعلّق كارول، الذي يدير شركة Seats.aero الناشئة ويُجري أبحاثاً أمنية مستقلة: كان شعوراً رائعاً أن أرى تذكرة بقيمة 4000 دولار، وأنا قادر على إصدار أي عدد أريده بضغطة زر. كان بإمكاني حضور أي حدث دون قيود، والحصول على تصاريح دخول خلف الكواليس أو أي امتيازات لكبار الشخصيات، حتى لو كانت التذاكر قد بيعت بالكامل.
الكشف المسؤول وتصحيح الثغرة
لحسن الحظ، لم يستغل كارول هذه الثغرة الخطيرة، بل سارع إلى إبلاغ شركة Front Gate بالنتائج. وقد أكدت الشركة أنها قامت بتصحيح الثغرة الأمنية على الفور. وفي تصريح لمجلة WIRED، شكرت Front Gate كارول على إبلاغه عن الخلل ووصف الحادث بأنه تعاون ناجح أدى إلى تحسينات في أنظمتها الأمنية.
جاء في بيان الشركة: تم حل المشكلة خلال 24 ساعة، ونؤكد عدم وجود أي دليل على استغلالها أو تأثيرها على التذاكر أو اختراق معلومات العملاء. وأضاف البيان: تم تحديد المشكلة من قبل باحث أمني مسؤول استخدم أدوات مدعومة بالذكاء الاصطناعي لتجاوز ضوابط أمان جدار الحماية القياسية والوصول إلى واجهة برمجة تطبيقات داخلية (API) تستخدمها ماسحات الدخول في أماكن المهرجانات، وليست نظاماً مواجهاً للمستهلك أو بوابة تسجيل دخول عامة.
الذكاء الاصطناعي شريك في اكتشاف الثغرات الأمنية
حتى بعد إصلاح الثغرة، يسلط هذا الحادث الضوء على القدرة المتنامية للذكاء الاصطناعي على اكتشاف نقاط الضعف القابلة للاستغلال في مختلف أنحاء الويب. كارول، الذي يشارك في برنامج التحقق السيبراني التابع لشركة Anthropic (والذي يسمح للباحثين الأمنيين المعتمدين باستخدام أدواتها لبعض وظائف القرصنة)، أعرب عن دهشته من سهولة وصول كلود إلى الجوهر الأساسي للتقنية اللازمة لاختراق موقع Front Gate. يقول كارول: أعتقد أن هناك فرصة كبيرة جداً لأن يكون [كلود] قد اكتشف هذه الثغرة من الألف إلى الياء دون أي تدخل مني على الإطلاق.
عند استفسار مجلة WIRED، صرّحت شركة Anthropic بأنها أنشأت برنامج التحقق السيبراني لجعل القدرات الأمنية المتقدمة متاحة للمدافعين، لتمكينهم من إجراء هذا النوع من الأبحاث الذي يعزز أمان الكود العالمي. وأضافت الشركة أنه لولا مشاركة كارول في البرنامج، لكان من الممكن اكتشاف وحظر استخدامه لكلود في محاولة اختراق أنظمة Front Gate.
خلاف حول طبيعة الوصول وحجم الضرر
في ردها على WIRED، ذكرت شركة Front Gate أن ضماناتها الأمنية قللت من حجم البيانات الشخصية المكشوفة، وأن أي إصدار تذاكر احتيالي كان سيترك أثراً للتدقيق، وأن التذاكر الصادرة عن المتسلل كانت ستُكتشف وتُلغى قبل استخدامها. ومع ذلك، يرى كارول أن هذه الادعاءات غير مؤكدة في أحسن الأحوال. فقد نجح في الحصول على امتيازات المسؤول المتميز على منصة الشركة دون أي استجابة ملحوظة، بل وتمكن من الوصول إلى الموقع عبر بوابة تسجيل دخول عامة، وهو ما يتناقض مع ادعاء الشركة السابق بأن الوصول لم يكن عبر نظام مواجه للمستهلك.
ويشير كارول أيضاً إلى أن Front Gate لم تقدم أي دليل ينفي أن الثغرة الأمنية قد استُغلت سابقاً. والأهم من ذلك، أن Front Gate أكدت النتائج التي توصل إليها كارول بعد أن شارك مسودة تدوينة حول اكتشافه مع الشركة، وقبل تواصل WIRED معها. في ذلك الرد، لم تجادل الشركة في قدرته على إصدار التذاكر كما يشاء.
كيف كشف كلود الأسرار؟
يروي كارول أنه علم بوجود Front Gate للمرة الأولى قبل شهرين، عندما كان يخطط لحضور مهرجان إلكتريك دايزي كرنفال (Electric Daisy Carnival) الموسيقي الضخم في مسقط رأسه بلاس فيغاس. لاحظ أن Front Gate هي التي تدير عملية إصدار تذاكر المهرجان، وتفاجأ لاحقاً عندما اكتشف أن نفس الشركة تتولى عملية التذاكر لكل مهرجان موسيقي رئيسي تقريباً في الولايات المتحدة، باستثناء مهرجان Coachella. يتذكر قائلاً: إنهم أشبه بـ Ticketmaster، ولكن للمهرجانات الموسيقية. إنهم يمتلكون احتكاراً فعلياً.
بصفته باحثاً أمنياً متخصصاً في اكتشاف ثغرات الويب، قرر كارول البحث في نطاق Front Gate عن أخطاء. وسرعان ما اكتشف ما بدا وكأنه ثغرة حقن SQL، وهي عيب برمجي شائع يسمح للمهاجم بإدخال أوامر معينة في حقول نصية على موقع الويب، مما يؤدي إلى تنفيذها في الواجهة الخلفية للموقع وربما استخراج بيانات مخزنة في قاعدة البيانات. لكن جدار حماية تطبيق الويب (WAF) الخاص بالموقع كان يمنعه من استغلال الثغرة.
لذلك، لجأ كارول إلى كلود أوبوس 4.7، وهو نموذج الذكاء الاصطناعي الأكثر تقدماً المتاح للجمهور آنذاك، طالباً منه إيجاد طريقة لاستغلال الخلل. وعلى الفور، قام كلود بتوليد تقنية قرصنة تجاوزت جدار الحماية. يقول كارول: كانت هذه هي المرة الأولى التي أواجه فيها ثغرة أمنية لم أفهمها تماماً. كان علي أن أعود وأقرأ ما كتبه كلود لأفهم آلية التجاوز، لأنني لم أكتبه. لقد فعل كلود ذلك بنفسه بالكامل.
في الواقع، اكتشف كلود أن استعلام SQL المتداخل – وهو استعلام SQL ضمن استعلام آخر – يمكنه تجنب اكتشاف جدار الحماية. وسرعان ما أنتجت أداة الذكاء الاصطناعي نصاً برمجياً يعرض عينات من جدول يضم 500 إدخال لقاعدة بيانات معلومات العملاء المكشوفة. في المجموع، يعتقد كارول أن الثغرة التي اكتشفها هو وكلود كانت ستتيح الوصول إلى معلومات ملايين العملاء، بما في ذلك الأسماء وعناوين البريد الإلكتروني والعناوين البريدية (وليس تفاصيل بطاقات الائتمان)، بالإضافة إلى معلومات موظفي Front Gate.
من خلال الوصول إلى بيانات الموظفين، اكتشف كارول بسرعة قدرته على الاستيلاء على حساباتهم. بحث عن حساب مسؤول مميز، وضغط على خيار إعادة تعيين كلمة المرور، ووجد رمز إعادة التعيين الذي أرسله الموقع إلى البريد الإلكتروني للمسؤول المخزن في الواجهة الخلفية. ثم استخدمه لتأكيد إعادة التعيين وتعيين كلمة مرور جديدة، ليتحكم بذلك في حساب المسؤول.
لم يمض وقت طويل قبل أن يتمكن من البحث عن أغلى التذاكر لمهرجان بونارو ويضيفها كـ تذاكر شركات إلى عربة التسوق. يقول كارول: يبدو أن بإمكانك فعل ذلك لأي حدث تريده. (لم يُكمل كارول عملية الشراء أو إصدار أي تذاكر بالفعل، خوفاً من تجاوز الخط الأحمر والتعرض لاتهامات بالاحتيال).
تفاجأ كارول بمدى سهولة عملية الاستيلاء؛ فلم يكن هناك نظام مصادقة ثنائية (2FA) يمنع الوصول الكامل حتى لو كانت كلمة المرور مسربة، مسروقة، أو تم تخمينها. يقول كارول: هناك شركة مركزية واحدة فقط تصدر جميع التذاكر لكل مهرجان. وحتى بدون هذه الثغرة الأمنية، إذا كنت تعرف كلمة مرور شخص ما، يمكنك تسجيل الدخول دون أي تحقق وإصدار تذاكر مجانية.
دروس مستفادة في الأمن السيبراني
ربما كان الجانب الأكثر إثارة للقلق، كما يشير كارول، هو أن Front Gate لم تقم على ما يبدو بمراجعة موقعها الخاص بشكل صحيح بحثاً عن نقاط الضعف الأساسية، سواء باستخدام خبراء الأمن البشريين أو أدوات الذكاء الاصطناعي التي أصبحت تجعل عملية اكتشاف الأخطاء سهلة بشكل مخيف.
يختتم كارول قائلاً: إنه لأمر مقلق عندما تظن أن هذه المهرجانات الموسيقية الكبيرة ذات المواقع الاحترافية تدار بشكل جيد. ثم عندما تتمكن من الوصول إلى أنظمتها، تدرك أن الأمر برمته يعتمد على الصدفة والترقيع.