إشعارات WhatsApp وSlack قد تخترق مساعد Google Gemini على أندرويد

مقدمة تحليلية

في السابع عشر من أغسطس 2025، وثّقت شركة الأبحاث الأمنية SafeBreach واحدة من أخطر ثغرات حقن التعليمات غير المباشرة Indirect Prompt Injection التي تستهدف وكلاء الذكاء الاصطناعي، وتحديداً مساعد Google Gemini على نظام تشغيل Android. تمكن الباحث الأمني Or Yair من إثبات أن إشعاراً مسموماً واحداً، يرسل عبر تطبيقات المراسلة الفورية مثل WhatsApp، أو Slack، أو Signal، أو Telegram، أو حتى الرسائل النصية القصيرة SMS، كفيل بالسيطرة الكاملة على المساعد الصوتي للهاتف والتحكم في وظائفه الحيوية دون تفاعل واعٍ من الضحية. تكمن الخطورة الفائقة لهذه الثغرة في عدم تطلبها تثبيت أي برمجيات خبيثة على جهاز المستهدف؛ بل تعتمد بالكامل على استغلال ميزة الخدمات المساعدة Utilities feature المتاحة حصرياً على هواتف أندرويد. يقوم مساعد Gemini بقراءة وتحليل محتوى الإشعارات الواردة لتقديم استجابات سياقية مفيدة، إلا أنه يعامل النصوص القادمة من جهات خارجية غير موثوقة كتعليمات برمجية واجبة النفاذ، مما يجعل سطح الهجوم يتسع ليشمل أي جهة قادرة على إرسال رسالة نصية بسيطة إلى هاتف الضحية. على الرغم من أن جوجل قامت بمعالجة هذه الثغرة برمجياً من جانب الخادم Server-side patch في الرابع عشر من نوفمبر 2025 بعد تصنيفها كأولوية قصوى، إلا أن الكشف التفصيلي عن تقنية الهجوم المسماة Fake Context Alignment في يونيو 2026 يسلط الضوء على فجوة أمنية عميقة في بنية النماذج اللغوية الكبيرة LLMs عندما تمنح صلاحيات واسعة للتعامل مع نظام التشغيل والأجهزة المنزلية الذكية.

التحليل التقني

الآلية التي اعتمد عليها الباحث Or Yair تتجاوز بشكل ذكي آليات الحماية التي طورتها جوجل سابقاً بعد اكتشاف هجمات دعوات التقويم الخبيثة Google Calendar Invitation Attacks. في تلك الدفاعات، وضعت جوجل نظام تحقق ثنائي يزن رد المستخدم بالقبول "نعم" مقابل آخر مخرج سياقي للمساعد للتأكد من أن الموافقة تتم على طلب شرعي ومفهوم. للتغلب على هذا الحاجز، ابتكر الباحث طريقة لتوليد استجابة وهمية مزدوجة تخدع النظام والمستخدم في آن واحد عبر استراتيجيتين رئيسيتين:

• التعمية اللغوية Obfuscation: يرسل المهاجم أمراً مبطناً يجعل Gemini يسأل المستخدم عن تصريح أمني حساس (مثل فتح النوافذ أو تفعيل الغلاية) بلغة لا يتحدثها المستخدم، مثل اللغة الصينية، ثم يتبعها مباشرة بسؤال إنجليزي بسيط مثل "Is that all you needed?". يظن المستخدم أن العبارة الأجنبية مجرد خلل برمجي عابر، فيجيب بالقبول "Yes"، ليربط محرك التحقق الخلفي هذه الإجابة بالطلب الأمني الصيني وينفذه فوراً.
• الكتم الصوتي Muting via Hyperlinks: يستغل الهجوم خاصية تجاوز محرك تحويل النص إلى كلام Text-to-Speech للروابط التشعبية المخفية خلف نصوص قابلة للنقر. يقرأ جيميني بصوت عالٍ عبارة تائهة ومحايدة مثل "أنا آسف، حدث خطأ ما، هل ما زلت هناك؟"، بينما تعرض الشاشة بصمت نصاً مكتوباً يسأل "هل تريد فتح قفل الباب؟". بمجرد أن ينطق السائق أو الضحية كلمة "نعم" رداً على الصوت، يفسر النظام الإجابة كموافقة على النص المعروض شاشتها.

بمجرد اختراق بوابة التحقق بنجاح، تفتح الثغرة الباب لسيناريوهات مدمرة تشمل ما يلي:

• التحكم الكامل في المنزل الذكي عبر تطبيق Google Home، بما في ذلك إضاءة الغرف، أجهزة التدفئة، وفتح وإغلاق النوافذ والأبواب الإلكترونية المتصلة.
• تسميم الذاكرة طويلة المدى Memory Poisoning: تعد هذه الخطوة أخطر ما أسفر عنه البحث، حيث تمكن المهاجم من إجبار Gemini على حفظ معلومات مغلوطة ومستمرة في ملف تعريف الحساب السحابي للضحية (مثل تغيير اسمه الافتراضي أو تفضيلاته الأمنية)، لترافقه هذه التغييرات الخبيثة عبر كافة الأجهزة المتصلة بالحساب وليس الهاتف فقط.
• القفز وتجاوز التطبيقات: تمكن الباحث من إعادة توجيه الضحية لروابط ضارة تقوم بتحميل ملفات تلقائياً، بل ونجح في إجبار المساعد على تشغيل تطبيق Zoom والانضمام إلى اجتماع فيديو مباشر وبث الكاميرا سرياً عبر توجيه النطاقات المحلية المعززة بالثقة.
• تزييف المحتوى الصوتي: إمكانية جعل المساعد ينطق بصوت عالٍ رسائل مزيفة منسوبة للمدير في العمل يطلب فيها رفع ملفات حساسة إلى رابط Drive خبيث، مستغلاً قراءة المساعد لاسم أول مرسل حقيقي في طابور الإشعارات لتأكيد مصداقية الخدعة.

السياق وتأثير السوق

يأتي هذا الاكتشاف في وقت تتسابق فيه شركات التقنية الكبرى مثل Apple، وMicrosoft، وGoogle لتحويل نماذج الذكاء الاصطناعي من مجرد روبوتات دردشة توليدية إلى وكلاء مستقلين AI Agents قادرين على قراءة شاشات المستخدمين، وإدارة رسائلهم، واتخاذ إجراءات عملية نيابة عنهم. هذا السباق المحموم يفرض ضغوطاً هائلة على فرق أمن المعلومات التي تجد نفسها تواجه سطح هجوم غير تقليدي وديناميكي للغاية. بالمقارنة مع المنافسين، تواجه جوجل تحدياً فريداً نظراً لعمق تكامل نظام أندرويد مع خدماتها السحابية. ميزة Utilities التي تمنح Gemini القدرة على التحكم الفعلي في التطبيقات والإشعارات تمنحه أفضلية تنافسية إنتاجية، ولكنها تمثل في الوقت نفسه كابوساً أمنياً عند مقارنتها بنهج آبل الأكثر تحفظاً في حظر وصول نماذج الذكاء الاصطناعي للإشعارات الحساسة للنظام دون عزل محكم بالكامل داخل بروتوكولات معالجة البيانات على الجهاز On-device processing. لم يتم تسجيل أي رمز CVE رسمي لهذه الثغرة نظراً لكون الحل قد تم تطبيقه بالكامل على خوادم جوجل دون الحاجة لدفع تحديثات برمجية لتطبيقات المستخدمين. هذا النموذج من المعالجة السحابية يبرز أهمية البنية التحتية المرنة لجوجل، لكنه يعكس أيضاً حجم القلق السائد في السوق من إمكانية بقاء ثغرات مشابهة طي الكتمان واستغلالها من قبل جهات فاعلة متطورة قبل اكتشافها من قبل الباحثين المستقلين.

رؤية Glitch4Techs

من منظورنا التحليلي في Glitch4Techs، نرى أن ثغرة Fake Context Alignment تفكك الأسطورة التي روجت لها شركات الذكاء الاصطناعي بأن "الفلاتر اللغوية ومصنفات المحتوى كافية لحماية الوكلاء الرقميين". إن نجاح الباحث Or Yair في الالتفاف على دفاعات جوجل بعد أشهر قليلة من معالجة ثغرة التقويم يثبت أن المشكلة لا تكمن في ضعف الكود البرمجي، بل في الفلسفة التصميمية الحالية للذكاء الاصطناعي التي تفشل في الفصل بين بيانات الدخل Data والتعليمات البرمجية Instructions. عندما يقبل النموذج اللغوي إشعاراً خارجياً كجزء من سياق التفكير الخاص به، فإنه يعرض نفسه تلقائياً لعمليات غسيل دماغ رقمية فائقة السرعة. الحلول الترقيعية القائمة على تحسين مصنفات المحتوى Content Classifiers على الخوادم هي مجرد مسكنات مؤقتة؛ فالمهاجمون سيجدون دائماً طرقاً جديدة لترميز التعليمات الخبيثة بأساليب لغوية مبهمة أو متعددة اللغات تتجاوز قدرة الفلاتر الفورية. نحن نتوقع أن يقود هذا النوع من الأبحاث الأمنية إلى تراجع مؤقت في حماس الشركات لتفعيل ميزات التحكم التلقائي الكامل بالهواتف والمنشآت الذكية عبر المساعدين الصوتيين. نوصي مستخدمي أندرويد بضرورة اتخاذ خطوات وقائية استباقية بتعطيل ميزة ربط التطبيقات المساعدة Connected Apps في إعدادات Gemini، وإلغاء صلاحية الوصول إلى الإشعارات وتحديداً خيار Notification read, reply & control الممنوح لتطبيق Google. في المشهد الأمني الحالي، عزل الأنظمة وإبقاء مسافات آمنة بين الذكاء الاصطناعي وصلاحيات النظام الأساسية هو الخيار الأذكى والوحيد المتاح لحماية الخصوصية الرقمية.