مهارة ذكاء اصطناعي وهمية تتجاوز الفحص الأمني وتصيب 26 ألف وكيل

مقدمة تحليلية

في تجربة مثيرة للقلق كشفت شركة الأمن AIR عن ثغرة حرجة تهدد سلامة أنظمة وكلاء الذكاء الاصطناعي. نجحت الشركة في بناء مهارة ذكاء اصطناعي وهمية وتمريرها عبر سوق مهارات شهير، مستغلة نقاط ضعف جوهرية في آليات الفحص الأمني الحالية. والنتيجة كانت صادمة: المهارة الوهمية، التي حملت حمولة غير ضارة عمدًا (لجمع عناوين البريد الإلكتروني للمستخدمين فقط)، تجاوزت كافة برامج الفحص الأمني التي اختبرت عليها، ووصلت إلى ما يقارب 26,000 وكيل، بما في ذلك وكلاء يعملون ضمن حسابات مؤسسية.

هذا الكشف لا يمثل مجرد خرق أمني عابر، بل ينسف الثقة في الإشارات التي يعتمد عليها المستخدمون والشركات لتقييم موثوقية مهارات الذكاء الاصطناعي. لم تنجح لا الماسحات الضوئية الأمنية، ولا تقييمات GitHub Stars، ولا حتى السمعة مفتوحة المصدر، في كشف هذه المهارة المزيفة. إن جوهر المشكلة يكمن في الثقة المفرطة الممنوحة للمهارات التي يحملها الوكيل وينفذها، وهو ما يبرر وجود أدوات فحص المهارات في المقام الأول، والتي أثبتت هذه التجربة فشلها في سد الفجوة.

التحذير هنا واضح ومباشر: إذا كانت مهارة بسيطة ومحدودة النوايا قادرة على التسلل بهذا الشكل، فإن التداعيات المحتملة لاستغلال حقيقي يمكن أن تكون مدمرة، مهددة بسلامة البيانات والأنظمة الحيوية في بيئة الذكاء الاصطناعي المتنامية.

التحليل التقني

لتحقيق هذا الاختراق، صممت AIR مهارة سميت brand-landingpage، والتي زعمت قدرتها على إنشاء صفحات هبوط باستخدام أداة تصميم Stitch من Google، مستهدفة بشكل مباشر المستخدمين غير التقنيين. ولإضفاء المصداقية، ركزت AIR على إشارتي ثقة رئيسيتين: عدد نجوم GitHub (GitHub stars) ونتائج فحص أمني نظيفة. قامت الشركة بفتح طلب سحب (pull request) إلى مستودع مهارات شهير يضم حوالي 36,000 نجمة و156 مهارة. بعد بضعة أيام، تم دمج طلب السحب، مما سمح للمهارة الوهمية بوراثة عدد نجوم المستودع الأم. بعد ذلك، أطلقت AIR إعلانًا على Instagram استهدف المسوقين، مندوبي المبيعات، والمصممين، مما أدى إلى تثبيت المهارة واستخدامها.

كانت نقطة الفشل الجوهرية للماسحات الضوئية في طريقة عملها. تقوم الماسحات التي اختبرتها AIR —مثل Cisco's skill-scanner، وNVIDIA's skillspector، وتلك المدمجة في skills.sh— بتحليل الحزمة التي تُقدم إليها: ملف SKILL.md والملفات المرفقة معه. لكن مهارة AIR لم تحمل تعليمات إعداد خاصة بها؛ بل طلبت من الوكيل تثبيت "Stitch SDK" باتباع التوثيق الموجود على رابط خارجي: stitch-design.ai. هذا النطاق كان تحت سيطرة AIR، وليس Google (التي تستضيف Stitch الحقيقي على stitch.withgoogle.com).

في البداية، كان الرابط يشير إلى وثائق Stitch الأصلية، مما سمح للماسحات الضوئية، التي رأت حزمة نظيفة تشير إلى صفحة إعداد معقولة، بتمريرها بأمان. الصفحة التي كان الوكيل سيجلبها ويتبعها فعليًا كانت تقع خارج نطاق الفحص الأولي. بمجرد تثبيت المهارة على نطاق واسع، قامت AIR بتبديل الصفحة خلف هذا الرابط. النسخة الجديدة وجهت الوكيل لتنزيل وتنفيذ نص برمجي. في العرض التوضيحي، قام النص بجمع عنوان البريد الإلكتروني للمستخدم وإرساله إلى AIR، وهي الطريقة التي أحصت بها الشركة عدد الوكلاء الذين وصلوا إليهم. ولكن في سيناريو حقيقي، كان بإمكان المهاجم استخدام هذا الموطئ لقراءة الملفات، نقل البيانات، أو الوصول إلى الأنظمة الداخلية، محدودة فقط بما يمكن للوكيل الوصول إليه.

هذا النوع من الثغرات ليس جديدًا. قبل ثلاثة أسابيع من كشف AIR، نجحت شركة Trail of Bits في تجاوز كاشف المهارات الضارة لـ ClawHub، وماسح Cisco، وجميع الماسحات الثلاثة المدمجة في skills.sh. كان استنتاجهم واضحًا: الماسح يفحص حزمة ثابتة، بينما يمكن للمهاجم الاستمرار في تعديل الحمولة حتى تمر الفحص. وقد استخدمت حملات حقيقية نفس الحيلة لأشهر، حيث تحافظ على المهارة المُقدمة نظيفة وتستضيف الحمولة على موقع يجلبه الوكيل عند التثبيت فقط.

المشكلة هيكلية: الفحص يحدث مرة واحدة، ولكن الصفحة التي تشير إليها المهارة يمكن إعادة كتابتها في أي وقت لاحق. حتى وثائق Anthropic الخاصة تحذر من أن المهارات التي تجلب عناوين URL خارجية محفوفة بالمخاطر لهذا السبب بالذات، حيث يمكن أن يتغير المحتوى بعد التحقق من المهارة. وقد وجدت أبحاث منفصلة هذا العام أن الماسحات غالبًا ما تختلف في أحكامها لأن كل واحدة تقيّم المهارة بمعزل عن الروابط الخارجية وما يتغير بعد المراجعة.

السياق وتأثير السوق

لا تعرض تجربة AIR خللاً تقنياً جديداً بقدر ما تسلط الضوء على نقاط الضعف المتراكمة ضمن بيئة وكلاء الذكاء الاصطناعي. فقد تم توثيق هذه الثغرات الهيكلية سابقاً، لكن تكرارها بهذا النطاق يعزز الحاجة الملحّة لإعادة تقييم شامل لآليات الثقة والأمان. إن المشكلة تتعدى مجرد اكتشاف عيوب برمجية؛ إنها تتعلق بنموذج الثقة المعيب الذي يقوم عليه توزيع وتثبيت مهارات الذكاء الاصطناعي، حيث يتم التعامل مع المهارات كنصوص بسيطة بدلاً من كونها تطبيقات برمجية كاملة ذات قدرة على التفاعل مع بيئات حساسة.

في سياق مقارن، فإن فشل مجموعة متنوعة من أدوات الفحص، بما في ذلك حلول من شركات رائدة مثل Cisco وNVIDIA، يؤكد أن هذه الثغرة ليست محصورة في أداة معينة، بل هي مشكلة نظامية تؤثر على الصناعة بأسرها. هذه النتائج تضع ضغطاً كبيراً على المطورين، مزودي المنصات، والشركات التي تعتمد على وكلاء الذكاء الاصطناعي، لتبني نهج أكثر حداثة وصرامة في التحقق من المهارات. كما أن تحذيرات Anthropic في وثائقها الخاصة تظهر وعياً بالخطر، لكنها لا تقدم حلاً فورياً للمشكلة الأساسية المتمثلة في تغيير المحتوى بعد الفحص الأولي.

التأثير على السوق واسع النطاق. مع تزايد الاعتماد على وكلاء الذكاء الاصطناعي في المهام الحساسة، من إدارة البيانات إلى خدمة العملاء، فإن أي اهتزاز في الثقة يمكن أن يعيق التبني ويفرض تكاليف باهظة على الشركات في شكل هجمات إلكترونية محتملة أو تآكل لسمعتها. هذا يدفع نحو ضرورة تطوير معايير صناعية قوية، وربما ظهور أسواق مهارات مُدارة بشكل أكثر صرامة، تفرض مستويات أعلى من التدقيق المستمر والتحقق من الإصدارات لضمان عدم تغيير الحمولة بعد اجتياز الفحص.

رؤية Glitch4Techs

من منظور Glitch4Techs، لا شك أن هذه التجربة تسلط الضوء على هشاشة إطار الثقة الحالي لمهارات وكلاء الذكاء الاصطناعي. تكمن المشكلة في أن المنظومة بأكملها تعتمد على إشارات ثقة ضعيفة وقابلة للاستغلال بسهولة. فنجوم GitHub يمكن استعارتها من مستودعات أوسع، والفحص الأمني يقرأ لقطة زمنية ثابتة، والرابط الخارجي يمكن إعادة كتابته بعد مرور الفحص الأولي. هذا المزيج يخلق فجوة أمنية واسعة، بغض النظر عن العدد الدقيق للوكلاء الذين وصلوا إليهم (سواء كان 26,000 وكيل أو أقل، مع الأخذ بعين الاعتبار أن AIR تطلق سوق مهارات مُدارًا خاصًا بها، مما قد يؤثر على أرقامها المعلنة).

إن التحدي الأمني الرئيسي يكمن في التعامل مع مهارات الذكاء الاصطناعي كبرمجيات كاملة، وليس مجرد نصوص بسيطة. هذا يتطلب تحولاً جذرياً في الاستراتيجيات الدفاعية. أولاً، يجب على المدافعين عن الأمن أن يقوموا بفحص ما تشير إليه المهارة، وليس فقط ما يتم شحنه داخل حزمتها الأولية. هذا يعني الحاجة إلى آليات فحص ديناميكية ومستمرة لمحتوى الروابط الخارجية التي يعتمد عليها الوكيل، بدلاً من الفحص الساكن لمرة واحدة.

ثانياً، يجب على الشركات ومطوري المنصات تركيز جهودهم على بناء أنظمة تضمن إعادة فحص المهارات عند أي تغيير في محتواها أو مواردها الخارجية. يتطلب ذلك أيضاً توجيه جميع المهارات الجديدة عبر مصدر موحد يمكن التحكم فيه ومراجعته بدقة، مع فرض مبدأ الحد الأدنى من الامتيازات (Least Privilege) على الوكلاء. يجب افتراض أن أي تعليمات خارجية يجلبها الوكيل ستُنفذ بنفس صلاحيات وصول الوكيل، مما يبرز أهمية تقييد هذه الصلاحيات بشكل صارم. حتى الآن، لا تزال الفجوة التي كشفت عنها هذه التجربة مفتوحة، وتتطلب استجابة سريعة ومبتكرة من مجتمع الأمن السيبراني لضمان مستقبل آمن لوكلاء الذكاء الاصطناعي.