في 6 يوليو 2025، أعلن جاك دورسي، المؤسس الشريك لتويتر (التي أصبحت تُعرف الآن بـ X) والرئيس التنفيذي لشركة Block، عن إطلاق تطبيق جديد للمراسلة يدعى Bitchat، والذي وُصف بأنه آمن، خاص، ولا مركزي، ويعمل بالبلوتوث دون الحاجة إلى اتصال بالإنترنت. غير أن ما بدأ كمشروع "واعد" في مظهره، تهاوى سريعًا أمام انتقادات لاذعة من خبراء الأمن السيبراني، الذين اكتشفوا فيه ثغرات حرجة تهدد خصوصية وأمان المستخدمين بشكل مباشر.
جاك دورسي وتطبيق Bitchat: عندما تنهار وعود الأمن تحت مجهر الواقع السيبراني
Bitchat: الرؤية الأولية ووعود الخصوصية
اعتمد تطبيق Bitchat على مبادئ التشفير من الطرف إلى الطرف (end-to-end encryption) وأكد على الاستغناء الكامل عن أية بنية تحتية مركزية. وبخلاف تطبيقات المراسلة التقليدية، فإنه لا يتطلب رقم هاتف، أو بريد إلكتروني، أو حتى اسم مستخدم. كان الطموح، وفقًا لدورسي، أن يقدم وسيلة تواصل آمنة وخاصة في البيئات التي تُراقب فيها شبكة الإنترنت أو تكون غير متاحة.
وجاء في الورقة البيضاء الخاصة بالتطبيق أن التصميم يعطي "الأولوية للأمن"، ما أثار فضول المتخصصين في الأمن المعلوماتي الذين سارعوا إلى فحص مزاعم الأمان تلك.
الكشف عن ثغرات خطيرة: انهيار الرواية الأمنية
ما إن انطلقت النسخة الأولى من التطبيق، حتى شرع الباحث في الأمن السيبراني أليكس رادوسيا في اختبار بنيته الداخلية، ليكتشف خللًا وصفه بـ"الحرج". وبحسب تقريره الفني، فإن نظام المصادقة في التطبيق يعاني من فشل جوهري في التحقق من الهوية، ما يجعل المستخدمين عرضة لانتحال الهوية وهجمات التصيد.
كيفية تنفيذ الهجوم
أنتِ "أليس":
- يعترض مهاجم مفتاح الهوية الخاص بـ"بوب"، ويقدّم بدلاً منه زوج معرفات خاص به.
- يقبل التطبيق هذا التقديم، لأنه لا يحتوي على آلية تحقق فعلية تُثبت أن هذه المعرفات تعود فعلًا لـ"بوب".
- تعتقدين أنك تتحدثين مع "بوب"، أحد "المفضّلين" لديك، لأنه مميز بنجمة.
- يطلب منك المهاجم، الذي ينتحل هوية "بوب"، أسرارك المفضلة.
- فتقومين بإفشاء معلومات حساسة للخصم.
وبعد قليل، يظهر "بوب" الحقيقي. وهكذا، يكون الهجوم قد تم بنجاح.
رغم أن دورسي أغلق التذكرة التي رفعها رادوسيا على GitHub دون أي تعليق في البداية، إلا أنه أعاد فتحها لاحقًا، مشيرًا إلى أن المشكلات الأمنية يمكن الإبلاغ عنها مباشرة عبر المنصة. غير أن هذا السلوك اعتُبر غير مسؤول تقنيًا من قبل كثير من المراقبين.
مشكلات أعمق: خرافة "السرية التقدّمية" وخلل الذاكرة
لم تقف المشاكل عند انتحال الهوية فقط. فقد أبلغ مستخدمون آخرون عن مخاوف تتعلق بخاصية "السرية التقدّمية" (Forward Secrecy)، وهي خاصية تعني أن حتى في حال اختراق المفتاح الحالي، فإن الرسائل القديمة تبقى محمية.
كما أبلغ شخص آخر عن وجود خلل محتمل من نوع "تجاوز سعة الذاكرة" (buffer overflow)، وهي ثغرة معروفة يمكن استغلالها لتنفيذ تعليمات برمجية خبيثة قد تطيح بأمان النظام أو تسمح بالوصول إلى بيانات المستخدمين.
مفاجأة: لا اختبارات أمنية ولا مراجعة خارجية
"هذا البرنامج لم يخضع لأي مراجعة أمنية خارجية، وقد يحتوي على ثغرات، وربما لا يحقق أهدافه الأمنية المعلنة. لا تستخدمه في بيئة إنتاجية ولا تثق بأمانه حتى يتم مراجعته".
لاحقًا، أضاف تنبيهًا يقول: "عمل قيد التنفيذ"، وهو ما عُدّ تراجعًا صارخًا عن الوعود الأولية التي صاحبت إطلاق التطبيق.
هل Goose – مساعد الذكاء الاصطناعي – هو السبب؟
اعترف دورسي أن مشروع Bitchat نُفذ خلال "عطلة نهاية أسبوع واحدة"، وصرّح بأنه استخدم "Goose"، أداة الذكاء الاصطناعي للبرمجة التابعة لشركته Block، لتوليد الشيفرة وتصحيح الأخطاء تلقائيًا.
"كان هذا جزءًا من تحديات وضعتها لنفسي: أن أبني كل يوم شيئًا لم أظن أنني قادر عليه، ولا أدوات الذكاء الاصطناعي كذلك. أنا دائمًا مندهش من مدى نجاح Goose في ذلك".
هذه "البرمجة الشعورية" أو ما بات يُعرف بـ "vibe coding" أثارت حماس البعض، ولكن قلق المختصين في الأمن.
تشابه مع FireChat: لكن التجربة مختلفة تمامًا
قارن دورسي تطبيقه الجديد بـ FireChat، التطبيق الذي استُخدم في احتجاجات هونغ كونغ، والذي كان يتيح المراسلة عبر شبكة Mesh تعتمد على البلوتوث. غير أن FireChat أُغلق منذ 2018، بينما Bitchat لا يزال في مرحلة تجريبية، متاحًا عبر TestFlight لمستخدمي iOS وعلى أجهزة Android.
أما بشأن اعتماده في متجر App Store، فقد أشار دورسي إلى أن التطبيق "محجوب" حاليًا لأسباب تتعلق بـ:
- تحسين الشبكة،
- تطبيق بروتوكول مقاوم للتشويش،
- الحصول على موافقة Apple.
الختام: حدود الذكاء الاصطناعي عند تقاطع الأمن والبرمجة
رغم حماس دورسي لفكرة استخدام الذكاء الاصطناعي في تطوير البرمجيات – إلى حد القول بأن "اللغة الإنجليزية والنماذج اللغوية أصبحت لغة برمجة جديدة" – إلا أن ثغرات Bitchat تكشف بوضوح عن محدودية هذه الأدوات، خاصة حين تُستخدم في مشاريع يفترض أن توفر الحماية للمستخدمين في بيئات غير آمنة.
الدرس الأبرز هنا هو أن الأمان لا يُرتجل. وأن الاعتماد الكلي على الذكاء الاصطناعي دون مراجعة بشرية خبيرة، يُعدّ مجازفة، خاصة في عالم محفوف بالتهديدات الرقمية المعقدة.
ليست هناك تعليقات:
إرسال تعليق
إضافة تعليق :
لن يتم إظهار أو نشر أو مشاركة إيميلكم..