كشفت Sears محادثات العملاء مع روبوت الدردشة الآلي القائم على الذكاء الاصطناعي لجميع مستخدمي الإنترنت

تعرضت شركة البيع بالتجزئة الأمريكية Sears لتسريب بيانات خطير: كانت محادثات العملاء مع روبوت الدردشة الذكي للشركة — بما في ذلك تسجيلات المكالمات الهاتفية وتبادل الرسائل النصية — متاحة بشكل مفتوح على الإنترنت. كان بإمكان أي شخص الوصول إليها دون ترخيص وبدون أي مهارات تقنية خاصة. وفقاً لتحقيق من مجلة Wired، لم تكن البيانات المكشوفة علناً مجرد سجلات تقنية فقط.

احتوت المحادثات على أسماء العملاء ومعلومات الاتصال وعناوين البريد الإلكتروني والتفاصيل المحددة للمشتريات — متى تم إجراء شراء، ماذا بالضبط، وما المشاكل التي ظهرت. هذا هو بالضبط نوع المعلومات التي تعتبر كنزاً بالنسبة للمحتالين: معرفة اسم الشخص والمنتج الذي اشتراه ومتى اتصل بالدعم، يمكن للمحتال أن ينسج سيناريو اختراق بريد إلكتروني (phishing) مقنع. تعمل خطة الهجوم بهذه الطريقة: يتصل محتال بعميل Sears ويتظاهر بأنه موظف الشركة.

"مرحباً بك يا ماريا. نحن نتصل بشأن طلب الثلاجة الخاص بك من 12 أبريل - هناك مشاكل في التسليم". الشخص لا يشعر بأي خطر: التفاصيل تطابق بشكل مثالي.

ثم يأتي طلب لتأكيد معلومات الدفع أو الدفع مقابل "إعادة التسليم" أو متابعة رابط لـ "تأكيد عنوانك". يُطلق على هذا السيناريو الاختراق الموجه (spear phishing) — إنه يعمل بفعالية أعلى بمراتب من الرسائل الجماعية لأنه يستخدم البيانات الشخصية الحقيقية للضحية. حادثة Sears ليست حالة معزولة، بل هي عرض من أعراض مشكلة منهجية.

مع انتشار تجار التجزئة والبنوك وشركات الخدمات بسرعة للروبوتات الذكية لخدمة العملاء، ينمو حجم البيانات الشخصية التي تجمعها وتخزنها هذه الأنظمة بسرعة. تجري روبوتات الدردشة الحديثة محادثات كاملة وتتذكر سياق التفاعلات السابقة ولديها إمكانية الوصول إلى سجل الطلبات. هذا يجعلها أدوات دعم مفيدة — وفي الوقت نفسه نقاط فشل خطيرة عند إساءة تكوين تخزين البيانات.

من منظور الأمان، سجلات محادثات الروبوتات الذكية ذات قيمة خاصة للمهاجمين لعدة أسباب. يتواصل العملاء مع الروبوتات بصراحة — حيث يصفون المشاكل بتفاصيل لن يشاركوها مع غريب. البيانات منظمة وسهلة المعالجة: الاسم والتاريخ ونوع الطلب — ملف تعريفي جاهز للهجوم.

أخيراً، لا يتوقع المستخدمون أن تصبح مراسلاتهم التقنية مع الروبوت علنية، ولا يتخذون الاحتياطات بالطريقة التي يفعلونها عند ملء النماذج الرسمية. ظل رد Sears على الحادثة غير معروف في وقت النشر. تمر الشركة بأوقات صعبة: كانت ذات مرة أكبر بائع تجزئة أمريكي، لكنها انكمشت إلى سلسلة صغيرة بعد سنوات من الصعوبات المالية والإفلاس عام 2018.

يعتبر تنفيذ أدوات الذكاء الاصطناعي لتقليل تكاليف دعم العملاء منطقياً في استراتيجية البقاء — لكن الاقتصاد في أمان البيانات يتحول إلى مخاطر يمكن أن تكلف أكثر بكثير. تثير هذه الحالة سؤالاً أوسع: إلى أي مدى تكون الشركات مستعدة لنشر أنظمة الذكاء الاصطناعي بمسؤولية تعمل مع بيانات حساسة؟ لدى الاتحاد الأوروبي بالفعل قانون الذكاء الاصطناعي الساري مع متطلبات تقييم المخاطر. في الولايات المتحدة، تتابع لجنة التجارة الفيدرالية (FTC) بشكل مستمر الشركات لعدم حماية بيانات المستهلكين بشكل كافٍ — والانتهاكات بهذا الحجم بوضوح تقع ضمن نطاق اهتماماتها.

بالنسبة للمستخدمين العاديين، الخلاصة بسيطة: قد لا تكون المكالمة غير المتوقعة التي تعرف الكثير عن مشترياتك مصادفة، بل نتيجة مباشرة لانتهاك لم يتم تحذيرك منه مطلقاً.