قد يجعل الذكاء الاصطناعي العام (KYC) عديمة الفائدة بشكل فعال
KYC، أو “اعرف عميلك”، هي عملية تهدف إلى مساعدة المؤسسات المالية والشركات الناشئة في مجال التكنولوجيا المالية والبنوك على التحقق من هوية عملائها. ليس من غير المألوف أن تتضمن مصادقة KYC “صور الهوية”، أو صور شخصية تم التحقق منها للتأكد من هوية الشخص الذي يقوله. تعد منصات Wise وRevolut والعملات المشفرة Gemini وLiteBit من بين تلك التي تعتمد على صور الهوية من أجل الإعداد الأمني.
لكن الذكاء الاصطناعي التوليدي يمكن أن يزرع الشك في هذه الفحوصات.
تُظهر المنشورات واسعة الانتشار على X (تويتر سابقًا) وReddit كيف يمكن للمهاجم، من خلال الاستفادة من البرامج مفتوحة المصدر والجاهزة، تنزيل صورة ذاتية لشخص ما وتحريرها باستخدام أدوات الذكاء الاصطناعي التوليدية واستخدام صورة المعرف التي تم التلاعب بها لتمرير عملية اعرف عميلك (KYC). امتحان. لا يوجد دليل على أن أدوات الذكاء الاصطناعي العامة قد تم استخدامها لخداع نظام “اعرف عميلك” الحقيقي – حتى الآن. لكن السهولة التي يتم بها استخدام صور الهوية المزيفة والمقنعة نسبيًا تثير القلق.
خداع اعرف عميلك (KYC).
في مصادقة صورة معرف KYC النموذجية، يقوم العميل بتحميل صورة لنفسه وهو يحمل وثيقة هوية – جواز سفر أو رخصة قيادة، على سبيل المثال – لا يمكن لأحد سواه امتلاكها. يقوم شخص – أو خوارزمية – بإسناد ترافقي للصورة مع المستندات والصور الشخصية الموجودة في الملف (نأمل) في إحباط محاولات انتحال الشخصية.
لم تكن مصادقة صورة الهوية مضمونة على الإطلاق. ظل المحتالون يبيعون بطاقات هوية وصور شخصية مزورة لسنوات. لكن الجيل الجديد من الذكاء الاصطناعي يفتح مجموعة من الاحتمالات الجديدة.
توضح البرامج التعليمية عبر الإنترنت كيف يمكن استخدام Stable Diffusion، وهو مولد صور مجاني ومفتوح المصدر، لإنشاء عروض تركيبية لشخص ما مقابل أي خلفية مرغوبة (مثل غرفة المعيشة). مع القليل من التجربة والخطأ، يمكن للمهاجم تعديل العروض لإظهار الهدف وكأنه يحمل وثيقة هوية. عند هذه النقطة، يمكن للمهاجم استخدام أي محرر صور لإدراج مستند حقيقي أو مزيف في يدي الشخص الذي قام بالتزييف العميق.
الآن، يتطلب الحصول على أفضل النتائج باستخدام Stable Diffusion تثبيت أدوات وإضافات إضافية وشراء حوالي اثنتي عشرة صورة للهدف. أخبر أحد مستخدمي Reddit باسم المستخدم _harsh_، والذي نشر سير عمل لإنشاء صور شخصية لمعرف التزييف العميق، موقع TechCrunch أن الأمر يستغرق حوالي يوم أو يومين لإنشاء صورة مقنعة.
لكن حاجز الدخول أصبح بالتأكيد أقل مما كان عليه من قبل. إنشاء صور معرفية بإضاءة وظلال وبيئات واقعية مستخدم لتتطلب معرفة متقدمة إلى حد ما ببرامج تحرير الصور. الآن، هذا ليس هو الحال بالضرورة.
يعد إرسال صور KYC العميقة إلى التطبيق أسهل من إنشائها. يمكن خداع تطبيقات Android التي تعمل على محاكي سطح المكتب مثل Bluestacks لقبول الصور المزيفة بدلاً من البث المباشر للكاميرا، في حين يمكن إحباط التطبيقات الموجودة على الويب بواسطة برنامج يتيح للمستخدمين تحويل أي مصدر صورة أو فيديو إلى كاميرا ويب افتراضية.
التهديد المتزايد
تنفذ بعض التطبيقات والأنظمة الأساسية فحوصات “الحيوية” كأمان إضافي للتحقق من الهوية. عادةً ما تتضمن قيام المستخدم بالتقاط مقطع فيديو قصير لنفسه وهو يدير رأسه أو يغمض عينيه أو يُظهر بطريقة أخرى أنه شخص حقيقي بالفعل.
ولكن يمكن تجاوز عمليات التحقق من الحيوية باستخدام الذكاء الاصطناعي العام أيضًا.
في أوائل العام الماضي، قال جيمي سو، كبير مسؤولي الأمن في بورصة العملات المشفرة باينانس، لكوينتيليغراف إن أدوات التزييف العميق اليوم كافية لاجتياز اختبارات الحيوية، حتى تلك التي تتطلب من المستخدمين تنفيذ إجراءات مثل الدوران في الوقت الفعلي.
والخلاصة هنا هي أن سياسة اعرف عميلك، التي كانت بالفعل ناجحة أو فاشلة، قد تصبح قريبًا عديمة الفائدة فعليًا كإجراء أمني. سو، على سبيل المثال، لا يعتقد أن الصور ومقاطع الفيديو المزيفة قد وصلت إلى النقطة التي يمكن أن تخدع فيها المراجعين البشريين. ولكن قد تكون مسألة وقت فقط قبل أن يتغير ذلك.
