عندما يصبح المتصفح نطاق الانفجار: تحذير AutoGen Studio
تُظهر سلسلة استغلال مُبلّغ عنها استهدفت AutoGen Studio من Microsoft كيف يمكن لعنوان URL واحد أن يتحول إلى قناة تحكم عندما يُسمح للذكاء الاصطناعي الوكيل بالتصفح والتصرف على محتوى ويب حي.
في العالم الجديد لمساعدي الذكاء الاصطناعي، قد لا يكون أخطر مُدخل هو مرفق ملف أو رابط تصيد احتيالي. قد يكون صفحة ويب يُطلب من الوكيل زيارتها. تُعد سلسلة AutoJack المزعومة مثالاً صارخاً: يُقال إن سير عمل ذكاء اصطناعي قادر على استخدام المتصفح قد تم توجيهه بواسطة محتوى خبيث إلى تنفيذ تعليمات برمجية عشوائية صامتة على الجهاز المضيف.
هذا مهم لأن الخطر لا يتعلق فقط بنموذج يتخذ حكماً سيئاً. بل يتعلق بنظام يمكنه تحويل المحتوى غير الموثوق إلى فعل. بمجرد أن يتصل وكيل التصفح بأدوات، أو مشغل تعليمات برمجية، أو امتيازات أخرى على جانب المضيف، يمكن أن ينهار الحد الفاصل بين "القراءة" و"القيام" بسرعة كبيرة.
حقائق سريعة
- يوصف AutoGen Studio بأنه واجهة مستخدم مفتوحة المصدر من Microsoft Research لنمذجة أولية لأنظمة الذكاء الاصطناعي متعددة الوكلاء.
- يبدأ مسار الهجوم المُبلّغ عنه بعد إرسال عنوان URL إلى سير عمل تصفح.
- النتيجة المزعومة هي تنفيذ تعليمات برمجية عشوائية صامتة على الجهاز المضيف.
- يُصاغ هذا الخلل باعتباره تهديداً من نمط RCE بنقرة صفرية، ما يعني أنه لا يُزعم وجود تفاعل إضافي من الضحية بعد التسليم الأولي.
- لا تؤكد المواد المتاحة التحقق من صحة البائع، أو الإصدارات المتأثرة، أو الاستغلال في العالم الحقيقي.
لماذا يُعد هذا النوع من الهجمات مقلقاً إلى هذا الحد
تختلف الأنظمة الوكيلة عن روبوتات الدردشة العادية لأنها تستطيع استخدام الأدوات. عملياً، قد يشمل ذلك الوصول إلى الويب، أو عمليات الملفات، أو أدوات التنفيذ المساعدة. إذا تمكنت صفحة خبيثة من التأثير على حلقة استدلال الوكيل، فلن يعود المحتوى مجرد محتوى. بل يصبح سطح تحكم محتملاً.
هذه هي خطورة حقن المطالبات غير المباشر. فالمهاجم لا يحتاج إلى إقناع المستخدم مباشرة. بدلاً من ذلك، يمكن تضمين تعليمات عدائية داخل المحتوى البعيد الذي يجلبه الوكيل، ثم تفسيرها كما لو كانت ذات صلة بالمهمة. في بيئة أولية، قد يكون ذلك كافياً لتحفيز استدعاءات أدوات غير آمنة ما لم يكن النظام مقيداً بإحكام.
لهذا السبب تستحق تنسيقات الذكاء الاصطناعي الأولية مزيداً من الحذر. فقد تكون واجهة بحثية مصممة للتجريب، لا للنشر الإنتاجي المُحصّن. ومن منظور دفاعي، لا يقتصر السؤال المهم على ما إذا كان النموذج يمكن خداعه، بل ما إذا كان النظام المحيط به يستطيع منع ذلك الخطأ من التحول إلى اختراق للمضيف.
الضوابط الجيدة معروفة: العزل، وأقل صلاحية، والتأكيد الصريح على الإجراءات الخطرة، وتسجيل تفصيلي لاستخدام الأدوات. والدرس الأوسع هو أن الذكاء الاصطناعي المُمكَّن من المتصفح يجب أن يعامل صفحات الويب كمدخلات غير موثوقة، حتى عندما تبدو غير ضارة. في أمن الأنظمة الوكيلة، يمكن للصفحة التي يقرأها النموذج أن تصبح التعليمة التي يطيعها.
حتى وقت كتابة هذا المقال، لا تثبت المعلومات العامة بالكامل السبب التقني الجذري، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق.
الخلاصة
إن الادعاء حول AutoJack أكثر من مجرد عنوان ثغرة. إنه تذكير بأنه بمجرد أن تتمكن أنظمة الذكاء الاصطناعي من التصفح، واستدعاء الأدوات، والوصول إلى المضيف، لم يعد الأمن يتعلق بالمطالبات وحدها. التحدي الحقيقي هو بناء حدود ثقة قوية بما يكفي لمنع صفحة ويب من أن تصبح سطر أوامر.
ويكيكرووك
- حقن المطالبات غير المباشر: هجوم تُخفى فيه تعليمات خبيثة داخل محتوى خارجي يعالجه نظام ذكاء اصطناعي.
- وكيل التصفح: مكوّن ذكاء اصطناعي يمكنه زيارة صفحات الويب واستخدام محتواها كجزء من سير عمله.
- RCE بنقرة صفرية: سيناريو تنفيذ تعليمات برمجية عن بُعد يتم تشغيله دون نقرة منفصلة من المستخدم أو خطوة موافقة.
- العزل الرملي: عزل يحد مما يمكن أن تصل إليه أداة أو عملية إذا حدث خطأ ما.
- أقل صلاحية: مبدأ تحكمي يمنح الحد الأدنى فقط من الوصول اللازم لمهمة ما.




