كشف باحثون في مجال الأمن السيبراني عن ثغرة خطيرة في نظام “شات جي بي تي”، تتيح للمهاجمين تضمين ملفات صور خبيثة من نوع SVG (الرسومات المتجهة القابلة للتوسع) داخل المحادثات المشتركة، بما قد يعرّض المستخدمين لهجمات تصيّد متقدمة ومحتوى ضار. وقد وُثّقت الثغرة رسمياً تحت الرمز «CVE-2025-43714»، وتشمل نسخ النظام حتى تاريخ 30 مارس 2025.
وأوضح الباحثون أن النظام يعالج ملفات SVG عند إعادة فتح المحادثات أو مشاركتها عبر روابط عامة بطريقة غير آمنة، إذ يقوم بعرضها مباشرة داخل المتصفح بدلاً من عرض الشيفرة كمحتوى نصي داخل كتل الكود، ما يفتح الباب أمام هجمات «XSS» (البرمجة عبر المواقع المخزنة).
تنفيذ أكواد خبيثة في المتصفحات الحديثة
قال الباحث المعروف بالاسم المستعار «zer0dac» إن النظام يعالج ملفات SVG المدمجة بشكل مباشر داخل واجهة المحادثة، ما يسمح بحقن تعليمات HTML ضارة عند عرض المحادثة في معظم متصفحات الويب الحديثة. ويمكن للمهاجمين استغلال هذا السلوك لتمرير رسائل مزيفة داخل الصور تظهر وكأنها محتوى موثوق، مما يعزز من فاعلية هجمات التصيّد.
وتتعدى المخاطر الجوانب التقنية إلى الأثر الصحي، إذ يُحتمل أن تُستخدم صور SVG تحتوي على تأثيرات وميض سريع لتحفيز نوبات صرع لدى الأفراد الذين يعانون من حساسية ضوئية، في ما يُعد تهديداً مباشراً للسلامة العامة.
خطر البرمجيات داخل الصور
تمثل ملفات SVG خطراً فريداً كونها تعتمد على تنسيق XML وتتيح تضمين عناصر HTML وحتى شيفرات جافا سكريبت ضمن محتواها. وعند عرض هذه الملفات بشكل مباشر بدلاً من عرض كودها فقط، تُنفّذ العلامات المدمجة في بيئة المستخدم، ما يسمح بحدوث استغلال مباشر للثغرة دون الحاجة إلى تفاعل إضافي.
وأشار تقرير منفصل إلى أن مثل هذه الثغرات قد تُستخدم في تنفيذ شيفرات خبيثة داخل جلسات مستخدمين آخرين، مما يعزز خطورتها.
إجراءات مؤقتة وتحذيرات للمستخدمين
وأفادت تقارير أمنية بأن شركة «OpenAI» اتخذت خطوات مبدئية للتخفيف من آثار الثغرة عبر تعطيل ميزة مشاركة الروابط، في حين لم يُعلن بعد عن حل تقني شامل يعالج السبب الجذري للثغرة.
وحذر الخبراء من خطورة هذه الثغرة في ظل الثقة الواسعة التي يتمتع بها نظام “شات جي بي تي” بين المستخدمين، والذين قد لا يتوقعون تعرضهم لمحاولات خداع أو تأثيرات ضارة من خلال منصة يفترض أنها آمنة.
ونبّه أحد الباحثين إلى أن غياب تنفيذ شيفرات جافا سكريبت لا يعني غياب الخطر، مؤكداً أن “التلاعب البصري والنفسي يظل نوعاً من الاستغلال، خصوصاً عندما يهدد سلامة الأفراد أو يخدع مستخدمين غير تقنيين”.
دعوة لتعزيز أمن منصات الذكاء الاصطناعي
تعكس هذه الثغرة الحاجة الملحة إلى تأمين واجهات المحادثة القائمة على الذكاء الاصطناعي، ومراعاة التهديدات التقليدية المعروفة في بيئة الويب، لاسيما مع تعاظم اعتماد المؤسسات والأفراد على هذه الأدوات في التواصل وإنجاز المهام اليومية.
