كيف تسببت لعبة روبلوكس في اختراق منصة استضافة مواقع الذكاء الاصطناعي؟

في فبراير الماضي، لجأ أحد موظفي شركة Context.ai إلى تثبيت ملف صغير يُعرف باسم Roblox Cheat، لتحسين تجربة لعبة روبلوكس، وهو نوع من البرمجيات التي يلجأ إليها بعض المستخدمين للحصول على مزايا غير مشروعة داخل الألعاب، مثل كسر القيود، أو اللعب في مستويات مدفوعة، أو التلاعب بقواعد اللعب.

لكن هذا الملف لم يكن مجرد أداة غش تقليدية، بل كان يحتوي على برمجية خبيثة من نوع stealer قادرة على سرقة بيانات الدخول، وملفات الارتباط (كوكيز)، والجلسات النشطة من الجهاز المصاب، لتبدأ عند هذه اللحظة أولى خطوات سلسلة هجوم سيبراني كان له تأثير سلبي على عدد كبير من المواقع الإلكترونية والتطبيقات.

ونجحت البرمجية الخبيثة التي كانت مخفية داخل ملف Roblox Cheat؛ في الوصول إلى بيانات حساسة على جهاز الموظف، شملت رموز تشفير محتوى جلسات الاستخدام وبيانات الاعتماد، ما منح المهاجمين القدرة على التسلل إلى شركة Context.ai الرقمية دون حاجة إلى كلمات مرور تقليدية.

وتمثل هذه النقطة "الضربة الأولى" التي أعقبتها سلسلة اختراقات امتدت لاحقاً إلى واحدة من أبرز منصات النشر السحابي في العالم وهي منصة Vercel التي اعترفت بتعرضها للاختراق وتسريب بيانات عدد من عملائها.

لم يكن Context.ai مجرد هدف عابر، فالشركة كانت تقدم أدوات تحليل تعتمد على الذكاء الاصطناعي، ومتصلة عبر خدمة توثيق الدخول OAuth مع حسابات منصة Google Workspace السحابية للخدمات المكتبية الخاصة بعملائها، ومن بينهم موظفون داخل شركة Vercel، لكن هذا النوع من التكامل، الذي يُفترض أنه يسهل العمل ويزيد الإنتاج، تحول في هذه الحالة إلى ممر خفي داخل شبكة الثقة بين الأنظمة المختلفة.

وفي بداية مارس الماضي، استغل المهاجمون الوصول إلى Context.ai للانتقال إلى المرحلة التالية؛ إذ تمكنوا عبر تطبيق OAuth المرتبط بـ Google Workspace، من الوصول إلى حساب أحد موظفي Vercel.

ولا يعتمد هذا النوع من الوصول على كلمة المرور، ولا يتأثر بتغييرها، وغالباً ما يتم منحه صلاحيات واسعة تشمل البريد الإلكتروني والملفات والتقويم، وهنا لم يكن المهاجم بحاجة إلى “اختراق” بالمعنى التقليدي، بل كان يتحرك داخل منظومة تمنحه صلاحيات موثوقة بالفعل.

بمجرد السيطرة على حساب Google Workspace الخاص بموظف Vercel، بدأت مرحلة التوسع داخل الأنظمة الداخلية للشركة، ووفق ما أكدته Vercel لاحقاً، تمكن المهاجم من الوصول إلى بعض أقسام العمل الداخلية، مستفيداً من سلسلة من التحركات التي انطلقت من الحساب المخترق.

التفاصيل الدقيقة لكيفية هذا الانتقال لم تُكشف بالكامل، لكن نتيجة الانتقال كانت واضحة، وهي وصول فعلي إلى طبقة حساسة داخل Vercel.

في هذه المرحلة، بدأ المهاجم استهداف ما يُعرف بمتغيرات البيئة داخل مشروعات Vercel، وهي تُستخدم لتخزين مفاتيح برمجية API وبيانات الاتصال بقواعد البيانات وأسرار المصادقة، أي أنها تمثل مفاتيح التشغيل الفعلية للتطبيقات.

وبحسب إفادات Vercel، فإن المهاجم تمكن من الوصول إلى المتغيرات التي لم تكن مصنفة بأنها تتضمن بيانات حساسة، وهي الفئة التي يمكن قراءتها عبر الأنظمة الداخلية ولوحة التحكم.

هنا تكمن إحدى أخطر نقاط الضعف التي كشفتها الواقعة، فالمتغيرات كانت مشفرة عند التخزين، لكن آلية النظام كانت تسمح بفك تشفير المتغيرات غير الحساسة وعرضها عند الحاجة.

بمعنى آخر، لم يكن الخلل في غياب التشفير، بل في تصميم آلية التأمين يترك خيار الحماية الإضافية بيد المستخدم، دون تفعيله بشكل افتراضي. ونتيجة لذلك، فإن أي مهاجم يصل إلى الأنظمة الداخلية يمكنه قراءة هذه البيانات بسهولة.

ومع اتساع نطاق الوصول، لم يعد الخطر محصوراً داخل Vercel نفسها، فمتغير بيئة واحد قد يحتوي على مفتاح لخدمة خارجية، أو قاعدة بيانات، أو نظام دفع، أو منصة ذكاء اصطناعي.

وهذا ما يُعرف بتأثير “الانتشار المتسلسل للاعتمادات Supply Chain Attack”، حيث يتحول اختراق منصة واحدة إلى سلسلة من نقاط الدخول لأنظمة أخرى.

في أبريل الجاري، ظهرت أول إشارة علنية على أن شيئاً ما يحدث خلف الكواليس، إذ أفاد أحد عملاء Vercel بتلقيه تنبيهاً من شركة OpenAI عن تسرب مفتاح API خاص به، رغم أنه لم يكن يستخدم هذا المفتاح خارج Vercel.

بعد ذلك بعشرة أيام، أكدت Vercel في نشرتها الأمنية وقوع وصول غير مصرح به إلى بعض أنظمتها الداخلية، وربطت الحادثة مباشرة باختراق Context.ai.

وفي اليوم نفسه، أعلن الرئيس التنفيذي جييرمو راوخ؛ تفاصيل سلسلة الهجوم، مشيراً إلى أن المهاجم كان "عالي الكفاءة" وتحرك بسرعة لافتة.

أوضحت الشركة أن التأثير طال "مجموعة محدودة" من العملاء، وأنه يقتصر على متغيرات البيئة غير المصنفة كحساسة، مؤكدة عدم وجود دليل حتى الآن على اختراق المتغيرات الحساسة، كما بدأت فوراً في التواصل مع العملاء المتضررين، وقدمت إرشادات لتغيير المفاتيح ومراجعة الأنشطة.

في الأيام التالية، واصلت Vercel تحديث موقفها، مؤكدة أنها تحقق بالتعاون مع شركات أمنية وجهات إنفاذ القانون، واتخذت خطوات لتحسين المنصة، أبرزها تعديل إعدادات جميع متغيرات البيئة لتكون "عالية الحساسية" بشكل افتراضي.

بالتوازي، أقرت Context.ai بأنها تعرضت لاختراق في بنيتها السحابية، وأن بعض رموز OAuth قد تكون سُرقت واستخدمت للوصول إلى حسابات عملاء.

القصة في جوهرها، لا تتعلق بثغرة تقنية غير مسبوقة، بل بسلسلة من الثقة غير المرئية بين الأنظمة، من موظف حمّل ملف غير موثوق، إلى تطبيق OAuth حصل على صلاحيات أوسع من المتوقع، مروراً بمنصة تعتمد على متغيرات بيئة غير مؤمنة لتخزين أسرارها.

وهكذا، لم يكن الهجوم نتاج أداة خارقة أو ثغرة صفرية معقدة، بل نتيجة تراكب بين سهولة الاستخدام والثقة في التكاملات الرقمية، وهي معادلة تبدو اليوم بوابة مفتوحة أمام هجمات من هذا النوع.