شركة "برينتراست" لتقييم الذكاء الاصطناعي تؤكد اختراقاً وتطالب جميع عملائها بتغيير مفاتيح API

أكدت شركة "برينتراست" (Braintrust) الناشئة المتخصصة في تقييم الذكاء الاصطناعي، وقوع حادث أمني تضمن وصولاً غير مصرح به إلى أحد حساباتها السحابية على "خدمات ويب أمازون" (AWS)، مما دفعها إلى توجيه نداء عاجل لجميع عملائها لإلغاء واستبدال مفاتيح واجهة برمجة التطبيقات (API keys) الحساسة الخاصة بهم. كشف الحادث، الذي ظهر إلى العلن عبر رسالة بريد إلكتروني أُرسلت إلى العملاء يوم الاثنين واطلعت عليها "تيك كرانش"، أن حساب AWS المخترق كان يحتوي على مفاتيح API حيوية يستخدمها العملاء للوصول إلى نماذج الذكاء الاصطناعي المستندة إلى السحابة. يؤكد هذا التنبيه السريع المخاطر المحتملة المرتبطة بمثل هذه البيانات الاعتمادية. في البداية، أشارت اتصالات "برينتراست" إلى أنها حددت "عميلاً واحداً متأثراً" ولم تعثر، في ذلك الوقت، على دليل على تعرض أوسع للبيانات. ومع ذلك، ومن باب ما وصفه متحدث باسم الشركة لاحقاً بأنه "وفرة من الحذر"، طلبت الشركة الناشئة بشكل استباقي من "كل عميل تدوير" أي مفاتيح API قاموا بتخزينها لديها. تسلط هذه التوصية الواسعة الضوء على خطورة الثغرة الأمنية المحتملة، حتى لو كان النطاق الكامل للاختراق لا يزال قيد التحقيق. تحركت الشركة بسرعة لاحتواء الحادث، حيث كشفت على موقعها الإلكتروني أن "الحادث قد تم احتواؤه". وشملت الإجراءات المتخذة إغلاق الحساب المخترق، ومراجعة وتقييد الوصول عبر الأنظمة ذات الصلة، وتدوير الأسرار الداخلية لمنع المزيد من الوصول غير المصرح به. بينما أكدت "برينتراست" وقوع "حادث أمني"، أوضح المتحدث باسمها، مارتن بيرغمان، لـ"تيك كرانش" أنه "لا يوجد دليل على حدوث اختراق للبيانات في الوقت الحالي"، مما يشير إلى أنه على الرغم من حدوث وصول غير مصرح به، لم يتم بعد إثبات قاطع لاستخراج البيانات أو إساءة استخدام المفاتيح. لا يزال السبب الدقيق للاختراق قيد التحقيق النشط. تعتبر "برينتراست"، التي أسسها الرئيس التنفيذي أنكور غويال، نفسها "نظام تشغيل للمهندسين الذين يبنون برامج الذكاء الاصطناعي"، حيث توفر منصة للشركات لمراقبة نماذج ومنتجات الذكاء الاصطناعي. وقد جمعت الشركة الناشئة مؤخراً 80 مليون دولار في جولة تمويل من الفئة B في فبراير، مما قدر قيمتها بـ 800 مليون دولار. يثير هذا الحادث مخاوف بشأن الوضع الأمني للبنية التحتية الحيوية التي تدعم صناعة الذكاء الاصطناعي المزدهرة، خاصة بالنظر إلى دور "برينتراست" في تقييم نماذج الذكاء الاصطناعي. ويعلق خبراء الأمن السيبراني على التداعيات المحتملة. حذر خايمي بلاسكو، المؤسس المشارك لشركة "نودج سيكيوريتي" (Nudge Security)، الذي تلقى أيضاً تنبيهاً بالحادث، من "تداعيات سلبية على العملاء المتأثرين"، لا سيما شركات الذكاء الاصطناعي التي تعتمد على خدمات "برينتراست". يعد هذا الحادث بمثابة تذكير صارخ بالتهديد المستمر الذي يشكله المتسللون الذين يستهدفون حسابات الشركات على الخدمات السحابية أو المنصات الخارجية لسرقة بيانات الاعتماد الحساسة مثل مفاتيح API. بمجرد الحصول عليها، يمكن لهذه المفاتيح أن تمنح المهاجمين وصولاً يبدو شرعياً إلى أنظمة الشركة أو العملاء، متجاوزين الإجراءات الأمنية التقليدية. وقد أثرت حوادث مماثلة على كيانات رئيسية أخرى، بما في ذلك "سيركل سي آي" (CircleCI) في عام 2023، ومؤخراً حساب AWS الذي تستخدمه المفوضية الأوروبية، مما يؤكد ضعفاً واسع النطاق في النظم البيئية القائمة على السحابة.