خطر غير مرئي: البنية التحتية القديمة تختطف وكلاء AI

مقدمة تحليلية

بينما تضخ المؤسسات استثمارات ضخمة في تأمين طبقات الذكاء الاصطناعي ضد تهديدات مثل حقن الأوامر (prompt injection) وتسميم النماذج (model poisoning)، يكشف تحليل حديث عن نقطة عمياء حرجة تُهدد هذه الاستثمارات. فالتركيز المكثف على الطبقة العليا من الذكاء الاصطناعي غالباً ما يتجاهل ما يكمن تحتها: البنية التحتية التقليدية.

تُشكّل هذه البنية القديمة، التي قد تشمل خوادم غير مُحدّثة، أو أذونات Active Directory خاطئة، أو بيانات اعتماد مخزنة مؤقتاً على أجهزة المطورين، مساراً مباشراً للمهاجمين للوصول إلى كل ما يعتمد عليه وكلاء الذكاء الاصطناعي من قواعد المعارف، والتخزين السحابي، ووظائف Lambda، وتكاملات SaaS، وبيانات الاعتماد التي تربطها.

أكدت قمة Gartner Security & Risk Management الأخيرة هذا التحدي، مُشيرةً إلى أن 71% من المؤسسات تختبر وكلاء الذكاء الاصطناعي ضمن تطبيقاتها، و31% منها قد نقلتها بالفعل إلى سير العمل الإنتاجي. هذا التبني المتسارع يجعل معالجة هذه الثغرات الأمنية في البنية التحتية الأساسية أمراً بالغ الأهمية قبل أن تتحول إلى كوارث أمنية.

التحليل التقني

يعمل وكلاء الذكاء الاصطناعي، على الرغم من حداثتهم وقوتهم، بطريقة تشبه الأصول الأخرى في أي بيئة تقنية. فهم:

• يُصادقون عبر موفري الهوية الحاليين (identity providers).
• يُخزّنون البيانات في سلال التخزين السحابية الحالية (cloud buckets).
• يُنفّذون المهام عبر وظائف Lambda الموجودة.
• يَرثون الأذونات من أدوار IAM الحالية.

كل نقطة من هذه التبعيات تحمل معها أي ديون أمنية كانت المؤسسة تتحملها قبل نشر وكيل الذكاء الاصطناعي. والأكثر إثارة للقلق هو أن 70% من المؤسسات تمنح أنظمة الذكاء الاصطناعي أذونات أكثر امتيازاً مما تمنحه لبشر في نفس الدور، وفقاً لـ Infosecurity Magazine. هذا يؤدي إلى معدل حوادث بنسبة 76% في المؤسسات التي تعاني من امتيازات زائدة للذكاء الاصطناعي، مقارنة بـ 17% فقط لتلك التي تفرض مبدأ الحد الأدنى من الامتيازات (least privilege).

لتوضيح كيف يمكن لثغرة قديمة أن تختطف وكيل ذكاء اصطناعي حديث، نستعرض مسار هجوم تم نمذجته في بيئة مؤسسية حقيقية:

• Stage 1: S3 bucket يصبح أصلاً حرجاً. لتغذية مساعد AI Copilot لفريق دعم العملاء (المستضاف على AWS Bedrock)، يتم تصدير بيانات Salesforce إلى S3 bucket. هذا يحول السلة إلى هدف عالي القيمة يحتوي على سجلات عملاء حساسة. تلقى العديد من المستخدمين عبر حساب AWS، بما في ذلك المطور "John" الذي لا يحتاج وصولاً لبيانات الإنتاج، صلاحيات قراءة واسعة جداً لسلال S3 الإنتاجية. في حد ذاته، هذا مجرد سوء تهيئة بسيط للصلاحيات.
• Stage 2: خادم غير محدّث على المحيط. خادم خارجي يعمل بـ Apache Tomcat، معرض لثغرة CVE-2025-24813. هذه الثغرة، وهي Remote Code Execution (RCE)، تم الكشف عنها في مارس 2025 وأضيفت إلى كتالوج CISA للثغرات المستغلة المعروفة في نفس الشهر. لم يتم تحديث الخادم مطلقاً. بما أن الخادم يقع في بيئة المؤسسة ومتصل بـ Active Directory، فإن استغلال الثغرة يمكّن المهاجم من سرقة بيانات الاعتماد المخزنة مؤقتاً من ذاكرة الخادم واختراق حساب مستخدم AD. في هذه المرحلة، لا يزال الأمر يبدو كضعف معروف في خادم واحد.
• Stage 3: سوء تهيئة Active Directory يمكّن الحركة الجانبية. يمكن لحساب AD المخترق استغلال سوء تهيئة "Resource-Based Constrained Delegation" لانتحال شخصية John والوصول إلى محطة عمله. يستخدم John AWS CLI لإدارة موارد Copilot السحابية، والتي تخزّن مفاتيح وصول AWS على جهازه. يقوم المهاجم بجمع هذه المفاتيح. في هذه المرحلة، لا يزال الأمر يبدو كمشكلة أذونات AD منتشرة في معظم البيئات.

عند ربط المراحل الثلاث، يتضح المسار الحرج. يستغل المهاجم CVE-2025-24813 على المحيط، ويسرق بيانات الاعتماد، ويتنقل أفقياً عبر AD إلى محطة عمل John، ويجمع مفاتيح وصول AWS، ثم يقرأ كل سجل في S3 bucket الإنتاجي الذي يغذي قاعدة معارف Copilot. في هذه النقطة، يكون وكيل الذكاء الاصطناعي قد تم اختراقه بشكل كامل. لا يحتاج المهاجم إلى مهاجمة طبقة الذكاء الاصطناعي مباشرة؛ فثلاثة اكتشافات أمنية متوسطة - مفتاح سحابي مفرط الامتيازات، وخادم ويب غير محدث، وسوء تهيئة AD - تتحول إلى مسار هجوم حرج واحد.

السياق وتأثير السوق

لطالما كانت البنى التحتية القديمة هدفاً للمهاجمين، لكن دمجها مع وكلاء الذكاء الاصطناعي يضيف طبقة جديدة من التعقيد والقيمة للأهداف المستهدفة. في حين تركز معظم برامج الأمن على تقييم كل طبقة (الشبكة، الهوية، السحابة، الذكاء الاصطناعي) بشكل مستقل، فإن نقاط الضعف الفردية، التي قد تُصنّف كمتوسطة الأهمية، تتحول إلى مسار هجوم حرج عند ربطها ببعضها.

تُبرز هذه المعضلة تحدياً كبيراً لسوق الأمن السيبراني. فبينما تُشير أدوات EASM إلى خادم Tomcat غير المحدّث، وتكشف أدوات أمن Active Directory عن سوء تهيئة في التفويض، وتلتقط أدوات CSPM الوصول المفرط إلى S3، فإن كل واحدة منها تُبلغ عن نتيجة متوسطة قد لا تُعالج على الفور بسبب أولوية منخفضة. لكن هذه "النتائج المتوسطة" تتضافر لتشكيل ثغرة أمنية حرجة تسمح بالوصول إلى قاعدة معارف وكيل الذكاء الاصطناعي، مما يتسبب في تداعيات واسعة قد تشمل تسريب البيانات أو التلاعب بالاستجابات.

تأثير السوق يكمن في الحاجة الملحة لمنصات إدارة التعرض (exposure management platforms) القادرة على تتبع مسار الهجوم الكامل عبر الطبقات المتعددة. فمع تسارع تبني وكلاء الذكاء الاصطناعي في كل قسم من أقسام المؤسسات، تتضاعف مساحة الهجوم مع كل نشر جديد. السؤال لم يعد ما إذا كانت طبقة الذكاء الاصطناعي محمية، بل ما إذا كانت البيئة التي تعمل فيها هذه الوكلاء – بما في ذلك البنية التحتية التقليدية – تُسلّم المهاجمين مساراً لاختراقها. هذا يتطلب تحولاً في الاستراتيجيات الأمنية نحو رؤية شاملة للتعرضات بدلاً من التركيز على طبقات منعزلة، مما يؤثر على مبيعات أدوات الأمن التقليدية ويدفع الابتكار نحو حلول أكثر تكاملاً.

رؤية Glitch4Techs

من منظور Glitch4Techs، يُمثّل هذا التحدي نقطة تحول حاسمة في استراتيجيات الأمن السيبراني للذكاء الاصطناعي. إن الاعتماد المتزايد على وكلاء الذكاء الاصطناعي في بيئات الأعمال يُنشئ مساحة هجوم مُركّبة ومعقدة، لا يمكن معالجتها بالنهج الأمني التقليدي القائم على الطبقات المنعزلة. القيود الحالية للأدوات الأمنية، التي تفشل في توفير رؤية شاملة للمخاطر المترابطة، تتطلب إعادة تقييم جذرية لكيفية حماية أصول الذكاء الاصطناعي.

تتمثل المخاوف الأمنية الرئيسية في أن المؤسسات، رغم جهودها، تخاطر بزيادة مساحة الهجوم بشكل كبير من خلال دمج وكلاء الذكاء الاصطناعي مع بنى تحتية قديمة مثقلة بالديون الأمنية. تُظهر الإحصائيات الصادمة لمعدلات الحوادث (76% للذكاء الاصطناعي مفرط الامتيازات) أن منح الأذونات المفرطة لوكلاء الذكاء الاصطناعي هو عامل خطر لا يمكن التهاون به. إن هذا الوضع يُعقد من قدرة فرق الأمن على تحديد نقاط الضعف الحقيقية قبل استغلالها من قبل المهاجمين.

تُشير رؤيتنا إلى أن الحل يكمن في تبني نهج إدارة التعرض (exposure management) الذي يُعامل تبعيات وكلاء الذكاء الاصطناعي (مثل قواعد المعارف، وسلال التخزين، ووظائف Lambda) كأصول حيوية بحد ذاتها. يجب على فرق الأمن أن تبدأ من هذه الأصول وتُخطط للخلف: ما هي علاقات الهوية، والأذونات، والبنية التحتية التي تتصل بهذه الأصول؟ وأي من هذه الاتصالات تحمل تعرضات قابلة للاستغلال في سياق بيئتنا؟ من خلال رسم المسار الكامل، تظهر "نقاط الاختناق" (choke points) حيث يمكن لتصحيح واحد أن يسد مسارات متعددة إلى أصول الذكاء الاصطناعي. التحدي ليس في اكتشاف تقنيات هجوم جديدة، بل في فهم كيف تُمكن البيئات القديمة المهاجمين من استخدام التقنيات القديمة لاستغلال التقنيات الجديدة. بدون هذا التحول، ستظل "الأسوار" الأمنية حول طبقة الذكاء الاصطناعي غير فعالة أمام هجمات "الاختطاف" الماكرة التي تعتمد على الربط الخفي بين الثغرات المتفرقة." وتبقى رسالتنا واضحة: إذا لم يتمكن نظام إدارة التعرض لديك من تتبع المسار الكامل، فإن أي قدر من حراس AI لن يكون كافياً.