هجوم AutoJack: صفحة ويب تختطف عميل AI لتنفيذ تعليمات برمجية عن بعد

مقدمة تحليلية

كشفت مايكروسوفت عن تفاصيل سلسلة استغلال جديدة ومقلقة أطلق عليها اسم 'AutoJack'، والتي تحول وكيل تصفح يعتمد على الذكاء الاصطناعي إلى وسيلة فعالة لتنفيذ تعليمات برمجية عن بُعد (RCE) على الجهاز المضيف. تكمن خطورة هذا الهجوم في قدرته على تحقيق الاختراق بمجرد قيام وكيل الذكاء الاصطناعي بتحميل صفحة ويب ضارة، دون الحاجة إلى بيانات اعتماد، أو شاشات تسجيل دخول، أو أي تفاعل إضافي من المستخدم. يستهدف الهجوم بشكل خاص واجهة AutoGen Studio مفتوحة المصدر، وهي بيئة النماذج الأولية لإطار عمل AutoGen متعدد الوكلاء من Microsoft Research. على الرغم من أن مايكروسوفت أشارت في البداية إلى أن سطح WebSocket الخاص ببروتوكول Model Context Protocol (MCP) لم يتم تضمينه في أي إصدار PyPI مستقر، إلا أن التحقيقات المستقلة من قبل 'The Hacker News' أظهرت أن المعالج المعرض للخطر قد تم شحنه في إصدارين تجريبيين: 0.4.3.dev1 و 0.4.3.dev2. هذه الإصدارات تحتوي على ثغرة تسمح بتلقي الأوامر مباشرة من طلبات HTTP وتشغيلها دون التحقق من هوية المتصل، مما يفتح الباب أمام هجمات خطيرة.

التحليل التقني

يعتمد هجوم AutoJack على تسلسل ثلاث نقاط ضعف حرجة ضمن بروتوكول Model Context Protocol (MCP) WebSocket في AutoGen Studio:

• الثقة المفرطة في Localhost: كان المقبس يثق بـ 'localhost'، وهو فحص يهدف عادةً إلى منع المتصفحات العادية من الاتصال بمواقع ضارة. ومع ذلك، فإن أي وكيل تصفح يعمل على نفس الجهاز يُعد 'localhost'، وبالتالي فإن أي محتوى يقوم بتحميله يرث هذه الهوية ويتجاوز الفحص الأمني.
• تجاوز المصادقة: تجاهلت برمجيات المصادقة الوسيطة (authentication middleware) مسارات MCP بافتراض أن المعالج سيتحقق من الرموز المميزة (tokens) بنفسه. لكن هذا لم يحدث قط، مما يعني أن المقبس كان يقبل الاتصالات غير المصادق عليها بغض النظر عن وضع المصادقة المُكوّن.
• تنفيذ الأوامر غير المقيد: كانت نقطة النهاية تأخذ الأوامر مباشرة من معاملات الطلب (request parameters) وتقوم بتشغيلها، دون وجود قائمة بيضاء (allowlist) لتحديد البرامج التنفيذية المسموح بإطلاقها.

بتجميع هذه النقاط، يمكن لصفحة ويب على الإنترنت المفتوح، يقوم وكيل محلي بتقديمها (rendering)، تشغيل أمر يختاره المهاجم تحت حساب المستخدم الذي يقوم بتشغيل AutoGen Studio. استخدمت مايكروسوفت في إثبات المفهوم (proof of concept) وكيل 'Web Content Summarizer' الذي، عند تزويده بعنوان URL لمهاجم، يقوم بتشغيل calc.exe على سطح مكتب المطور من خلال عملية AutoGen Studio. تم الإبلاغ عن هذا السلوك إلى مركز استجابة أمان مايكروسوفت، وقام المطورون بتعزيز الفرع الرئيسي (main branch) في الكود من خلال commit b047730 (PR #7362). المعالج المُصلح لم يعد يقرأ الأوامر من عنوان URL؛ أصبحت المعلمات تُخزن على جانب الخادم خلف معرف جلسة (session ID) لمرة واحدة، ويتم رفض معرفات الجلسة غير المعروفة. كما أن مسارات MCP الآن تمر عبر مسار المصادقة العادي. ومع ذلك، لم يصل هذا التعزيز إلى أي إصدار PyPI حتى الآن.

السياق وتأثير السوق

وصفت مايكروسوفت هذا الاكتشاف بأنه بحث ولم تبلغ عن أي استغلال نشط في الواقع حتى تاريخ النشر. ومع ذلك، فإن النمط الكامن وراء هجوم AutoJack ليس جديدًا ويحمل تداعيات واسعة على تطوير وأمن أنظمة وكلاء الذكاء الاصطناعي. هذا النمط يشير إلى ضعف متكرر يتمثل في خدمة محلية تتمتع بسلطات مفرطة، وفحص 'localhost' الذي يتم التعامل معه كحد أمني كافٍ، ووكيل يفتح صفحات غير موثوقة. لقد رصدت 'The Hacker News' أنماطًا مشابهة في وقت سابق، مثل ثغرة 'ChatGPhish' حيث أصبحت ملخصات صفحات ChatGPT ناقلًا للتصيد الاحتيالي (phishing vector). كما قدمت مايكروسوفت حجة مماثلة بشأن 'localhost' في بحثها حول ثغرات RCE في إطار عمل Semantic Kernel، والتي تم تتبعها تحت المعرفين CVE-2026-26030 و CVE-2026-25592. هذه الحالات المتكررة تؤكد أن مشكلة الثقة المفرطة في localhost وعدم كفاية ضوابط المصادقة هي ثغرة معمارية أوسع نطاقًا تتجاوز AutoGen Studio. يؤثر هذا الاكتشاف على السوق الناشئ لوكلاء الذكاء الاصطناعي، حيث تتسارع الشركات لدمج هذه الأنظمة في عملياتها. فبدون ضوابط أمنية صارمة، يمكن أن تتحول هذه الوكلاء من أدوات إنتاجية إلى نقاط ضعف حرجة تعرض البيانات والأنظمة للخطر. الحاجة الملحة هي لتطوير مبادئ تصميم أمني للوكلاء الذكيين تتجاوز الافتراضات القديمة حول حدود الثقة المحلية.

رؤية Glitch4Techs

من وجهة نظر Glitch4Techs، يكشف هجوم AutoJack عن فجوة أمنية حرجة في النظم المعقدة لوكلاء الذكاء الاصطناعي. تكمن المخاطر في التباين بين سرعة الابتكار في مجال الذكاء الاصطناعي ومواكبة أفضل ممارسات الأمن السيبراني. على الرغم من أن الإصدار الحالي المستقر (0.4.2.2) من AutoGen Studio المثبت عبر pip ليس معرضًا للخطر، فإن وجود الإصدارات التجريبية الضعيفة التي لا تزال متاحة على PyPI دون سحبها يمثل مشكلة في سلسلة التوريد (supply chain) البرمجية. تحديدًا، يثير هذا الهجوم مخاوف جدية حول الموثوقية في بيئات التطوير. فالمطورون الذين قد يكونون قد قاموا بتثبيت إصدار تجريبي (pre-release) لأغراض الاختبار أو الميزات الجديدة، يجدون أنفسهم الآن مع كود معرض للخطر دون مسار ترقية مباشر ومستقر عبر PyPI. الاعتماد على فرع GitHub الرئيسي للحصول على الإصلاحات، بينما هو حل فعال، إلا أنه ليس مثاليًا لبيئات الإنتاج أو للمستخدمين الأقل خبرة. للتخفيف من المخاطر، توصي Glitch4Techs بالتدابير التالية:

• الفصل بين البيئات: لا تقم بتشغيل AutoGen Studio على نفس الجهاز الذي يقوم فيه وكيل التصفح أو وكيل تنفيذ التعليمات البرمجية بالتعامل مع محتوى غير موثوق به. الهجوم لا يعمل إلا عندما يتشارك كلاهما نفس بيئة localhost.
• العزل الصارم: إذا كان يجب تشغيلهما معًا، قم بعزلهما في حاويات (containers) منفصلة أو أجهزة افتراضية (VMs)، وقم بتشغيل AutoGen Studio تحت حساب ذي امتيازات منخفضة (low-privilege account).
• تعزيز ضوابط الأمن: يجب مصادقة مستوى التحكم (control plane)، والحفاظ على تنفيذ العمليات خلف قائمة بيضاء (allowlist) صارمة، ومنح الوكيل هوية لا تتطابق مع جلسة المطور الخاصة.

إن مجرد فحص 'localhost' لم يعد كافيًا كحد للثقة عندما يمكن لوكيل الذكاء الاصطناعي تصفح الويب المفتوح والوصول إلى الخدمات المحلية المتميزة. نتوقع رؤية المزيد من الثغرات الأمنية المشابهة مع تزايد تعقيد وانتشار وكلاء الذكاء الاصطناعي، مما يتطلب يقظة مستمرة وتطبيقًا صارمًا للمبادئ الأمنية في التصميم والتنفيذ.