في الفترة من 20 يوليو 2020 إلى 24 يونيو 2023 قامت المؤسسة Microsoft جعل كمية هائلة من البيانات متاحة للجمهور من خلال مستودع GitHub العام. اكتشفت شركة Wiz، وهي شركة أمنية سحابية، المشكلة وأبلغت عنها Microsoft وفي 22 يونيو 2023، وبعد يومين، ألغت الشركة رمزها غير المضمون. أصبحت الحادثة معروفة للعامة فقط عندما نشرت ويز معلومات حول المشكلة الأمنية على مدونتها الرسمية.
يقول باحثو Wiz أنه بسبب سوء استخدام ميزة منصة Azure المعروفة باسم Shared Ac Tokenscesالتوقيع (ساس)، Microsoft كشف عن طريق الخطأ 38 تيرابايت من البيانات الخاصة على GitHub. تم استخدام الأرشيف لاستضافة نماذج مفتوحة المصدر والذكاء الاصطناعي للتعرف على الصور والباحثين Microsoft قامت أنظمة الذكاء الاصطناعي بتبادل ملفاتها عبر رمز SAS شديد التساهل.
توفر رموز SAS القدرة على مشاركة عناوين URL الموقعة لتوفير الوصول إلى البيانات المستضافة في Azure Storage. يمكن للمستخدم تكوين مستوى الوصول ورمز SAS المحدد الذي يستخدمه الباحثون Microsoft، أشار إلى وحدة تخزين Azure التي تم تكوينها بشكل خاطئ والتي تحتوي على الكثير من البيانات الحساسة.
بالإضافة إلى بيانات التدريب لنماذج الذكاء الاصطناعي الخاصة بها، Microsoft قامت شركة Wiz بعمل نسخة احتياطية من القرص من محطات عمل اثنين من الموظفين متاحة للجمهور، وفقًا لتقارير Wiz. تحتوي النسخة الاحتياطية على "أسرار" ومفاتيح تشفير خاصة وكلمات مرور وأكثر من 30 ألف رسالة داخلية Microsoft الفرق التي يملكها 359 موظفا Microsoft. يمكن لأي شخص الوصول إلى إجمالي 38 تيرابايت من الملفات الخاصة، على الأقل حتى هذه اللحظة Microsoft لم تتخلى عن رمز SAS غير الآمن في 24 يونيو 2023.
على الرغم من فائدتها، تشكل رموز SAS خطرًا أمنيًا بسبب نقص المراقبة والإدارة. يقول ويز إن استخدامها يجب أن يكون "محدودًا قدر الإمكان" نظرًا لصعوبة تتبع الرموز المميزة Microsoft لا يوفر طريقة مركزية لإدارتها من خلال بوابة Azure.
بالإضافة إلى ذلك، يمكن إعداد رموز SAS المميزة "للاستخدام الأبدي تقريبًا"، كما يوضح Wiz. العلامة الأولى التي Microsoft منشور على GitHub، وتمت إضافته في 20 يوليو 2020، وظل صالحًا حتى 5 أكتوبر 2021. تمت إضافة رمز ثانٍ لاحقًا إلى GitHub، والذي من المقرر أن تنتهي صلاحيته في 6 أكتوبر 2051.
وفقًا لويز، فإن حادثة التيرابايت المتعددة مع مايكروسوفت تسلط الضوء على المخاطر المرتبطة بتدريب نماذج الذكاء الاصطناعي. يوضح الباحثون أن هذه التكنولوجيا الجديدة تتطلب "مجموعات بيانات تدريب كبيرة" لأن العديد من فرق التطوير تعالج "كميات هائلة من البيانات"، أو تشاركها مع الزملاء، أو تتعاون في مشاريع عامة مفتوحة المصدر. أصبحت الحالات المشابهة لحالة مايكروسوفت "أكثر صعوبة في السيطرة عليها وتجنبها".
اقرأ أيضا: