كشف بحث جديد أجرته معهد IMDA للشبكات في إسبانيا عن ثغرات خطيرة تهدد خصوصية المستخدمين عند التفاعل مع نماذج الذكاء الاصطناعي المشهورة مثل ChatGPT من شركة OpenAI، وClaude من Anthropic، وGrok من شركة X، وPerplexity AI. أظهر التحليل أن هذه المنصات تستخدم أنواعًا متعددة من أدوات التتبع تابعة لكبرى الشركات التقنية مثل ميتا وجوجل وتيك توك، مما قد يعرض محتويات المحادثات والبيانات الشخصية للمراقبة غير المرئية. يواجه الباحثون قلقًا كبيرًا بشأن الفجوة بين توقعات المستخدمين وواقع التقنية الخلفية. بينما ينظر الكثيرون إلى محادثات الذكاء الاصطناعي على أنها مساحات خاصة لمشاركة معلومات حساسة تتعلق بالصحة أو الشؤون المهنية، فإن البنية التحتية لهذه الأنظمة تعتمد في الواقع على نماذج جمع البيانات والإعلانات الرقمية المشابهة لتلك الموجودة في الويب التقليدي. تشير الدراسة، المتاحة على منصة GitHub، إلى أن هناك ثلاثة مخاطر رئيسية تتمثل في إرسال روابط المحادثات إلى جهات خارجية، وربط هذه التفاعلات بهويات المستخدمين الحقيقية، والسياسات التي قد تخفي تدفق البيانات الفعلي. من أبرز النتائج الخطيرة، قدرة هذه المنصات على إرسال عناوين المحادثات الروابط الدائمة (Permalinks) وبياناتها الوصفية إلى أدوات تتبع الجهات الثالثة. ما يزيد الطين بلة أن بعض الأنظمة تفتقر إلى ضوابط وصول قوية، مما يعني أن أي شخص يملك رابط المحادثة قد يتمكن من الوصول إلى محتواها، بما في ذلك مسروقات التتبع التي قد تسجل النصوص حرفيًا كما ذكرها الباحثون. على سبيل المثال، كشف فريق البحث أن Grok وPerplexity يرسلان روابط المحادثات لميتا بكواشف ضعيفة، بينما يعرض Grok نصوص الرسائل حرفيًا عبر بيانات الوصف التي يجمعها تيك توك. تسمح التقنيات المستخدمة، مثل ملفات تعريف الارتباط والبريد الإلكتروني المشفر، بربط أنشطة المستخدم في الذكاء الاصطناعي بهويته الحقيقية، مما يتيح إنشاء ملفات تعريف دائمة. يؤكد الباحثون أن هذه الممارسات تعكس استمرار النماذج التجارية المعتمدة على البيانات في قطاع الذكاء الاصطناعي الجديد، وأن معظم المستخدمين ليس لديهم أي وسيلة ليعرفوا أن هذا يحدث لأن الواجهة لا تظهر أي مؤشر على ذلك. حتى محاولة رفض ملفات تعريف الارتباط غير الضرورية لا تكفي دائمًا لحماية الخصوصية. فيما يتعلق بالتحكم في الخصوصية والشفافية، تشير الدراسة إلى أن سياسات الخصوصية قد تكون مضللة. ففي حين تعترف السياسات بمشاركة البيانات مع «الشركاء التجاريين»، فإنها نادرًا ما توضح صراحة أن محتوى محادثات المستخدم الفعلي هو ما يتم مشاركته. من منظور قانوني، بما في ذلك لائحة حماية البيانات العامة (GDPR)، تُظهر المشكلة غياب أساس قانوني واضح لمشاركة البيانات، بالإضافة إلى عدم كفاية المعلومات المقدمة للمستخدمين. يعتبر الخبراء أن هذه المخاطر تستدعي نفس الاهتمام الذي نوجه للتنبيهات القياسية حول احتمالية أخطاء الذكاء الاصطناعي. يخلص الباحثون إلى أنه رغم كون هذه النتائج أولية، إلا أنها تسلط الضوء على الحاجة الملحة لتعزيز الشفافية، وتحسين ضوابط الوصول، وشدّ أزر حماية البيانات في أنظمة الذكاء الاصطناعي التوليدي، مع ضرورة العمل على تطوير الأطر التنظيمية لمعالجة هذه الثغرات قبل أن تصبح جزءًا من واقعنا الرقمي اليومي.