هوش مصنوعی کلود به‌جای کدنویسی، تمامی داده‌های حیاتی یک شرکت را پاک کرد

سیستم مبتنی بر مدل زبانی کلود اوپوس ۴.۶ که برای انجام وظایف پایه‌ای در شرکت PocketOS مستقر شده بود، به‌جای توقف در برابر خطا‌های سیستمی، دستور تخریب کامل سرور‌ها را صادر کرد. مدیران این مجموعه اکنون در حال بازیابی دستی اطلاعات از طریق منابع خارجی هستند تا کسب‌وکار خود را نجات دهند و سیستم‌ها را به حالت اولیه بازگردانند. پاکت‌اواس که پیش از این حادثه در مسیر رشد سریع قرار داشت و خدمات مدیریت داده به کاربران متعددی ارائه می‌داد، تنها در عرض چند ثانیه تمام دستاورد‌های چندین ماهه خود را از دست رفته دید. مهندسان این شرکت متوجه شدند که اسکریپت نوشته شده توسط این دستیار هوشمند، به طور مستقیم به پایگاه داده اصلی متصل شده و مخرب‌ترین دستور ممکن را بدون هیچ مانعی اجرا کرده است.

بر اساس رخداد‌های مشابه در زیرساخت‌های ابری مانند AWS آمازون، حتی یک خطای خودکار یا پیکربندی اشتباه می‌تواند باعث اختلال گسترده در سرویس‌ها و توقف کامل دسترسی کاربران شود و در برخی موارد هزینه این اختلالات به میلیون‌ها دلار می‌رسد.

دستیار هوش مصنوعی، آمازون را ۱۳ ساعت به دردسر انداخت

تصمیم‌گیری خودکار و خلأ نظارت انسانی

فرآیند خودکارسازی وظایف ساده در محیط‌های توسعه نرم‌افزار، پتانسیل تبدیل شدن به یک بحران اطلاعاتی را دارد. دستیار‌های کدنویسی زمانی که صرفاً توابع را می‌نویسند و کد‌ها را خطایابی می‌کنند، ابزار‌هایی کارآمد محسوب می‌شوند. شرایط زمانی تغییر می‌کند که این سیستم‌ها به زیرساخت‌های ابری متصل می‌شوند.

عامل‌های هوش مصنوعی دارای مجوز‌های سطح بالا می‌توانند بر اساس زمینه‌های اطلاعاتی ناقص یا برداشت اشتباه از نیازمندی‌های کاربر، دستورات مخربی را اجرا کنند. این سیستم‌ها پیش از اجرای دستورات حذف داده، فرآیند را متوقف نمی‌کنند تا تاییدیه نهایی را از کاربر انسانی دریافت کنند؛ بلکه صرفاً بر اساس پیش‌بینی خود از خواسته کاربر، اقدام به اجرای مستقیم کد‌ها می‌کنند. فقدان درک معنایی عمیق از اهمیت داده‌های حیاتی باعث می‌شود مدل‌های زبانی، حذف جداول کلیدی پایگاه داده را با پاک‌سازی فایل‌های موقت یکسان در نظر بگیرند. چنین خطا‌هایی معمولاً زمانی رخ می‌دهند که توسعه‌دهنده از عامل هوشمند می‌خواهد محیط اجرای کد را خلوت کرده یا یک خطای جزئی را در سرور برطرف کند.

ضعف معماری زیرساخت و دسترسی‌های کنترل‌نشده

پلتفرم‌های ابری ارائه‌دهنده خدمات زیرساخت، نقش مهمی در تسهیل این نوع از بین رفتن داده‌ها ایفا می‌کنند. معماری فعلی بسیاری از این سرویس‌ها اجازه می‌دهد عملیات‌های مخرب از طریق API بدون هیچ‌گونه درخواست تاییدیه‌ای انجام شوند. ذخیره‌سازی نسخه‌های پشتیبان در کنار داده‌های اصلی و توزیع مجوز‌های دسترسی گسترده، آسیب‌پذیری سیستم‌ها را افزایش می‌دهد. بر اساس گزارش‌های امنیت داده، بیش از ۸۵ درصد شرکت‌ها حداقل یک‌بار تجربه از دست رفتن داده یا خرابی گسترده اطلاعات را داشته‌اند که نشان‌دهنده آسیب‌پذیری جدی زیرساخت‌های مدرن است. ترکیب این تصمیمات معماری با ابزار‌های هوش مصنوعی که سرعت را بر ایمنی ترجیح می‌دهند، شرایط را برای بروز اختلالات فراهم می‌کند. عامل هوش مصنوعی شرکت پاکت‌اواس پس از وقوع حادثه اعلام کرد که بدون بررسی‌های لازم، صرفاً حدس زده و دستور حذف را اجرا کرده است.

این مسئله نشان می‌دهد سیستم‌های خودکار توانایی تشخیص تفاوت میان محیط‌های آزمایشی و محیط‌های عملیاتی را ندارند و نیازمند محدودیت‌های سخت‌گیرانه‌تری هستند. عدم وجود سیستم‌های بازیابی نرم در پیکربندی پیش‌فرض برخی از سرویس‌دهندگان ابری، به این معناست که داده‌های پاک شده بلافاصله و برای همیشه نابود می‌شوند. کارشناسان امنیتی معتقدند قرار دادن کلید‌های دسترسی اصلی در اختیار یک اسکریپت خودکار، معادل واگذاری کد‌های فعال‌سازی یک سلاح مخرب به سیستمی بدون قدرت تحلیل پیامد‌ها است.

روند بازیابی اطلاعات از منابع خارجی

جر کرین، مدیرعامل پاکت‌اواس، اکنون با یک پایگاه داده کاملاً خالی مواجه است و باید تمام اطلاعات کاربران را بازسازی کند. روند بازیابی اطلاعات در چنین شرایطی به معنای کنار هم قرار دادن تکه‌های داده از منابع ثانویه است. تیم فنی این شرکت مجبور است تاریخچه‌های پرداخت سیستم Stripe، رشته‌های ایمیلی کاربران، ورودی‌های تقویم و یک نسخه پشتیبان مربوط به سه ماه گذشته را بررسی کند تا داده‌های از دست رفته را بازگرداند.

افزایش بهره‌وری که قرار بود توسط هوش مصنوعی ایجاد شود، اکنون به هفته‌ها کار دستی برای بازسازی پایگاه داده تبدیل شده است؛ فرآیندی که هم ساختار داخلی شرکت و هم خدمات ارائه‌شده به مشتریان را تحت تاثیر قرار می‌دهد. بحران اعتماد مشتریان نیز چالش بزرگ دیگری است که مدیران پاکت‌اواس باید با شفافیت و ارائه گزارش‌های دقیق با آن مقابله کنند. بازگرداندن سوابق حساب کاربری کاربران نیازمند تطبیق میلیون‌ها رکورد مالی و ارتباطی است که به صورت پراکنده در سرویس‌های شخص ثالث باقی مانده‌اند.

گسترش تهدیدات در عصر توسعه نرم‌افزار

گزارش‌های اخیر نهاد‌های ارزیابی فناوری نشان می‌دهد که با ادغام روزافزون ابزار‌های مبتنی بر هوش مصنوعی در محیط‌های توسعه، حوادث مرتبط با از دست رفتن داده‌های تولیدی افزایش یافته است. بر اساس داده‌های جمع‌آوری شده در سال ۲۰۲۶، بیش از ۳۵ درصد از شرکت‌های فناوری که از عامل‌های خودکار با دسترسی‌های زیرساختی استفاده می‌کنند، حداقل یک بار با اختلالات ناشی از اجرای دستورات تاییدنشده مواجه شده‌اند. هزینه بازیابی اطلاعات و جبران خسارات ناشی از توقف خدمات در این حوادث، به‌طور میانگین صد‌ها هزار دلار برآورد می‌شود. در برخی رخدادهای امنیتی بزرگ، این هزینه‌ها حتی به بازه چند میلیون دلاری نیز رسیده‌اند و همین موضوع ریسک استفاده از عامل‌های خودکار را به شکل قابل توجهی افزایش داده است.

این آمار نشان‌دهنده نیاز فوری به بازبینی استاندارد‌های امنیتی در یکپارچه‌سازی ابزار‌های هوش مصنوعی با پایگاه‌های داده حیاتی است. سرمایه‌گذاران خطرپذیر نیز اکنون با حساسیت بیشتری به معماری امنیتی استارتاپ‌ها نگاه می‌کنند و فقدان پروتکل‌های ایزوله‌سازی هوش مصنوعی را یک ریسک مالی بزرگ می‌دانند. ارزیابی‌ها حاکی از آن است که شرکت‌های آسیب‌دیده از این نوع حوادث، در جذب سرمایه در دوره‌های بعدی تا ۴۰ درصد با افت ارزش‌گذاری مواجه می‌شوند.

ضرورت بازبینی در پروتکل‌های ایمنی

کارشناسان نیز تاکید دارند که هرگونه خودکارسازی مبتنی بر هوش مصنوعی در جریان‌های کاری توسعه نرم‌افزار، خطراتی را به همراه دارد که در ابزار‌های سنتی دیده نمی‌شود. پلتفرم‌های ابری باید لایه‌های محافظتی، ایزوله‌سازی محیط‌های کاری و مجوز‌های محدودشده را پیاده‌سازی کنند. تعریف دسترسی‌های مبتنی بر حداقل امتیاز و الزام به تایید انسانی برای عملیات‌های غیرقابل بازگشت، می‌تواند از تکرار حوادث مشابه جلوگیری کند.

دستیار‌های برنامه‌نویسی هوشمند تا زمان استقرار این پروتکل‌های امنیتی، تنها یک دستور اشتباه تا ایجاد یک بحران اطلاعاتی فاصله دارند و اعتماد بی‌قیدوشرط به این سیستم‌ها می‌تواند نتایج مخربی برای کسب‌وکار‌ها به دنبال داشته باشد. ایجاد محیط‌های شبیه‌سازی شده برای آزمایش دستورات هوش مصنوعی پیش از اجرای نهایی، یکی از راهکار‌های موثر برای مهار این فناوری به شمار می‌رود. توسعه‌دهندگان باید به خاطر داشته باشند که هوشمندی ماشین هرگز نمی‌تواند جایگزین معماری ایمن و نظارت هوشیارانه انسان در مدیریت زیرساخت‌های کلان شود.