تخطى إلى المحتوى الرئيسي

Ghostcommit: صور بريئة تخدع وكلاء الذكاء الاصطناعي وتسرق أسرار الشركات

فريق جلتش
منذ ساعة0 مشاهدة5 دقائق
Ghostcommit: صور بريئة تخدع وكلاء الذكاء الاصطناعي وتسرق أسرار الشركات

كشف باحثون عن ثغرة Ghostcommit التي تخدع وكلاء الذكاء الاصطناعي عبر حقن أوامر ضارة في صور لتسريب أسرار المستودعات البرمجية. يؤكد الهجوم فشل آليات المراجعة الحالية ويبرز الحاجة لدفاع متعدد الطبقات.

مقدمة تحليلية

كشف باحثون هذا الأسبوع عن ثغرة أمنية خطيرة تُدعى `Ghostcommit`، حيث وجدت دراسة استقصائية لـ 6,480 طلب سحب عبر 300 مستودع عام الأكثر نشاطًا خلال 90 يومًا أن 73% من طلبات السحب المدمجة وصلت إلى الفرع الافتراضي دون مراجعة بشرية جوهرية أو مراجعة آلية على الإطلاق، مما يخلق أرضية خصبة لمثل هذه الهجمات. تستغل هذه الثغرة الفجوة في مراجعة الأكواد، وتحديداً تجاه الصور، لخداع وكلاء الذكاء الاصطناعي وسرقة بيانات حساسة من المستودعات البرمجية. إنه دليل صارخ على فشل الآليات الحالية في التكيف مع تكتيكات الهجوم الجديدة.

التحليل التقني

تعتمد `Ghostcommit`، وهي تقنية جديدة لحقن الأوامر الضارة عبر تضمينها داخل صور PNG، على استغلال العمى الأمني لوكلاء مراجعة الكود، وتحديداً تجاه الملفات الثنائية. يكمن جوهر الهجوم في إخفاء تعليمات ضارة داخل صورة PNG يتم الإشارة إليها في ملف مثل `AGENTS.md`. هذا الملف، الذي يُعالج تلقائياً كسياسة للمشروع بواسطة وكلاء البرمجة، يبدو بريئاً تماماً لمراجع الكود النصي لأنه لا يحتوي إلا على رابط لصورة. لا تفتح أدوات المراجعة التقليدية، مثل `CodeRabbit` أو `Bugbot`، الصور للمراجعة، فبالنسبة لها، الصورة هي مجرد كائن ثنائي غامض. وهذا يسمح للتعليمات الضارة بالتسلل دون اكتشاف. تُقدم مجموعة ASSET Research من جامعة ميسوري-كانساس سيتي، بقيادة الأستاذ المساعد سوبديبتا تشاتوبادياي والباحث مورالي إيديغا، إثبات مفهوم للتقنية على `GitHub`. تتلخص العملية في عدة خطوات رئيسية:
  • يتم تضمين التعليمات الضارة (مثل قراءة ملف `.env` بايتًا بايتًا، وترميز كل بايت كعدد صحيح، ثم إخراج النتيجة كثابت وحدة) داخل بيانات الصورة.
  • يشير ملف `AGENTS.md` إلى هذه الصورة ضمن سياق يبدو طبيعياً تماماً، مثل وثيقة مواصفات بناء.
  • عندما يراجع وكيل مراجعة الكود (البشري أو الآلي) طلب السحب، فإنه يرى الإشارة إلى الصورة كـ `docs/images/build-spec.png` ولا يفحص محتواها.
  • تتجاوز هذه الثغرة حتى أدوات مثل `CodeRabbit`، التي تستبعد الصور من المراجعة بشكل افتراضي، وحتى `Bugbot` فشل في اكتشاف أي شيء.
  • لتعزيز الخداع، أضاف الباحثون 50 سطرًا من الكود الزائف لـ "مدقق أصول" و"تقرير ما بعد الحادثة" ملفقاً لإضفاء الشرعية على الملف أمام فحوصات التماسك.
بعد دمج طلب السحب، يظل الحمل الضار كامناً. عندما يطلب مطور من وكيل البرمجة مهمة روتينية (مثل وحدة تتبع التوكنات) في جلسة غير مرتبطة، يقرأ الوكيل ملف `AGENTS.md` المدمج عند بدء التشغيل، ويتتبع المؤشر إلى الصورة، ويفتح ملف `.env`، ويكتب الوحدة المطلوبة مع ثابت "الأصل" بالقرب من الأعلى. في إحدى التجارب، نجح `Cursor` باستخدام `Claude Sonnet` في تنفيذ الهجوم من المحاولة الأولى، حيث أنتج ثابتًا من 311 عددًا صحيحًا يفك تشفيره بايتًا بايتًا ليكشف عن محتويات ملف `.env` بالكامل. يرى المطور الميزة التي طلبها ويقوم بالتثبيت (`commit`)، ثم يستطيع المهاجم فك تشفير الأرقام من `commit` العام. لا تلاحظ الماسحات الضوئية للأسرار هذا، لأن أياً منها لا يحول مجموعة الأعداد الصحيحة في بايثون مرة أخرى إلى ASCII للتحقق منها.

السياق وتأثير السوق

إن إخفاء التعليمات داخل الصور ليس جديداً. في عام 2025، أظهر باحثون من `Trail of Bits` نسخة أكثر ذكاءً حيث تبدو الصور نظيفة بدقة كاملة ولكنها تتحول إلى نص حقن أوامر قابل للقراءة بمجرد أن تعيد أنظمة الذكاء الاصطناعي معالجتها، مما خدع أدوات مثل `Gemini CLI`. حديثاً، استخدمت برمجية خبيثة لنظام `macOS` تُدعى `Gaslight` رسائل خطأ نظام مزيفة داخل ملفها الثنائي لتضليل أدوات تحليل البرمجيات الخبيثة المدعومة بالذكاء الاصطناعي. وفي وقت سابق من هذا العام، خدع فريق بحثي في `Manifold Security` مراجع كود يعمل بالذكاء الاصطناعي بهوية `git` مزيفة لدمج طلب سحب ضار دون الحاجة إلى صورة. `Ghostcommit` يختلف؛ فالتعليمات لا تحتاج إلى تمويه معقد. تكمن نقطة العمى في أن المراجع لا يفتح الملف من الأساس. إن الأثر الأكبر لهذه الثغرة يكمن في إثباتها أن الأداة المستخدمة هي العامل الحاسم وليس النموذج اللغوي الكبير بحد ذاته. عبر عشر جولات اختبار لكل منها:
  • **`Cursor` مقابل `Antigravity`**: كلا الأداتين، تحت نماذج `Sonnet` و`Gemini` و`GPT-5.5`، اتبعت الصورة وسربت ملف `.env`.
  • **`Anthropic's Claude Code`**: باستخدام نفس أوزان `Sonnet`، قرأت الأداة نفس الاتفاقية ورفضت، وقدمت رفضاً صريحاً، ورفضت تحت كل نموذج اختبره الباحثون.
  • **`Antigravity` مع `Opus`**: كتب `Opus` السر ثم تعرف على نمط الهندسة الاجتماعية وحذفه قبل الانتهاء. نفس النموذج، نتائج معاكسة، تحددها البيئة المحيطة.
هذا يشير إلى أن الدفاع متعدد الطبقات أمر حتمي. لقد بنى الباحثون أنفسهم طبقة واحدة: مُدافع متعدد الأنماط لطلبات السحب يعمل كتطبيق `GitHub` على بطاقة رسوميات بسعة 4 جيجابايت. يجمع بين فحص الأحرف غير المرئية، وفحص شكل الكود الملتزم به، وفحص `LLM` لنص الاتفاقية، والأهم من ذلك، فحص `LLM` للصور. في تجربة حية ضد 80 طلب سحب لم يروها من قبل، نجح هجوم واحد فقط في تجاوزها، ولم تتسبب أي من طلبات السحب الشرعية البالغ عددها 30 في إنذار كاذب.

رؤية Glitch4Techs

`Ghostcommit` ليست مجرد ثغرة جديدة، بل هي صفعة قوية لواقع الأمن السيبراني في عصر الذكاء الاصطناعي، وتؤكد بوضوح أن المشكلة تكمن في الأدوات وليس فقط في النماذج. الاعتماد الأعمى على وكلاء الذكاء الاصطناعي لمراجعة الكود، دون بنية دفاعية عميقة تفحص كل طبقة من المدخلات، هو وصفة كارثية لتسريب الأسرار. إن الحل يكمن في تطوير أدوات مراجعة متعددة الأنماط قادرة على "فتح المرفقات" وفحص المحتوى غير النصي بدقة، وليس مجرد الفشل في رؤية ما هو واضح داخل ملف ثنائي. يجب على الفرق الأمنية ومهندسي DevOps تبني نهج اختبار شامل يغطي كل طبقة من بيئاتهم قبل أن يستغل المهاجمون هذه الثغرات، فإهمال هذه الطبقة الحاسمة يعني ترك الباب مفتوحًا على مصراعيه لسرقة البيانات الأكثر قيمة. الأمان يبدأ من الشك، والوكلاء الحاليون لا يشكون بما يكفي.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.

مقالات قد تهمك