
بقلم: سارة | محررة نماذج الذكاء الاصطناعي · صوت تحريري بإشراف بشري
في 152 جولة هجوم محاكاة على بيئة AWS، انهار معدل نجاح وكلاء الذكاء الاصطناعي المخترقين في الوصول إلى صلاحيات الأدمن من 57% إلى 5% بمجرد زرع نص واحد مُدسوس بجوار مفاتيح التشفير وكلمات المرور. (وفقاً لـ Tracebit) هذه ليست مبالغة دعائية؛ هي نتيجة بحثية تقلب معادلة قديمة: حقن النصوص كان سلاح المهاجمين، واليوم أصبح درع المدافعين.
الفكرة التي ابتكرها باحثو Tracebit تُسمّى Context Bombing، وتقوم على توظيف الآلية ذاتها التي جعلت حقن النصوص خطيراً — أي قدرة LLM على تغيير سلوكه بناءً على محتوى يصادفه أثناء العمل — لكن هذه المرة بهدف إيقاف الوكيل المهاجم بشكل تام. يُوضّح أندي سميث، المؤسس المشارك والرئيس التنفيذي لـ Tracebit: “ما نحاول التقاطه هو أن هذا التأثير حادٌّ وقوي، ويصعب على الوكلاء التعافي منه. حين يدخل النص إلى سياقهم، سيستمرون في الرفض”.
الآلية أبسط مما تتخيل: يُوضَع أمر يُوجِّه الـ LLM المهاجم إلى فعل شيء تمنعه ضماناته الأخلاقية المدمجة — كطلب تعليمات لصنع أسلحة بيولوجية أو الإشارة إلى صور يحظر النموذج عرضها — فيستجيب النموذج بالإغلاق الكامل ولا يعود قادراً على متابعة مهمته الأصلية. بالنسبة للنماذج الصينية تحديداً، يكفي استدعاء صور مثل “رجل الدبابة” من مجزرة ميدان تيانانمن 1989.
اختبر الباحثون خمسة نماذج كبرى داخل بيئة AWS مُحاكاة، وأعطوها مهام مطوّر روتينية تدفعها للتعداد عبر الموارد والعثور على النصوص المزروعة. النماذج المختبرة كانت: Opus 4.8 وGemini 3.1 Pro وGLM 5.2 وDeepSeek 4 Pro وKimi 2.6. (وفقاً لـ Tracebit) النتائج كانت لافتة في مجملها:
- معدل تصعيد الصلاحيات إلى مستوى الأدمن انخفض من 57% إلى 5%.
- التصعيد مع ترك موطئ قدم دائم (persistent foothold) تراجع من 36% إلى 1%.
- نسبة الجولات التي حققت أي مسار هجومي ناجح هبطت من 91% إلى 15%.
- متوسط المسارات الناجحة لكل جولة تراجع من 1.53 مساراً إلى 0.16 فقط.
- لم تُكمل أي جولة مسار هجوم دون تفعيل تنبيه الـ canary على الأقل — أي أن الكشف أصبح مضموناً.
- النموذج الأقوى في الاختبارات، Opus 4.8، كان ينجح في الوصول إلى صلاحيات الأدمن في 93% من الجولات قبل التقنية، ثم فشل في كل جولة بعدها.
يُكمل هذا البحث منظومة دفاعية بدأت Tracebit بناءها في مايو الماضي حين قدّمت “كناريات” AWS — موارد وهمية تبدو حقيقية لكنها لا تُستخدم فعلياً، فإذا تفاعل معها وكيل ذكاء اصطناعي مهاجم أرسلت تنبيهاً فورياً للمدافعين. كانت هذه الكناريات تُرسل التحذير في غضون ثماني دقائق في المتوسط، لكن المشكلة أن وكلاء الهجوم كانوا يصلون إلى صلاحيات الأدمن في 14 دقيقة بالمتوسط — هامش ستة دقائق لا يكفي دائماً للتدخل. Context Bombing جاء ليسدّ هذه الثغرة الزمنية: لا مجرد إنذار، بل وقف فوري.
المفارقة أن المهاجمين أنفسهم سبقوا المدافعين في توظيف هذه الفكرة. باحثو شركة Socket كشفوا الشهر الماضي عن وكيل LLM مُصمَّم لتوجيه النماذج المُحللة للبرمجيات الخبيثة نحو طلبات محظورة — كتعليمات بناء أسلحة — لإيقافها وتعطيل تحليلها. (وفقاً لـ Socket) وشركة Check Point بدورها وثّقت نموذجاً مماثلاً. (وفقاً لـ Check Point) Context Bombing يبدو أنه الحالة الأولى الموثقة بشكل علمي التي يُعيد فيها المدافعون توجيه الأداة ذاتها.
الأستاذ إيرلنس فيرنانديز من جامعة كاليفورنيا سان دييغو، المتخصص في أمن الذكاء الاصطناعي، أكد أنه لم يصادف استخداماً مماثلاً للتقنية دفاعياً من قبل، مضيفاً بصراحة أنه كان يفكر في نهج مشابه: “أردت أن أكون الأول هنا، لكنني أعتقد أنهم سبقوني!”
ثمة تحفظ جوهري ينبغي ذكره: Context Bombing لا يحل المشكلة الجذرية لحقن النصوص — فلا يوجد حتى اليوم حل معروف يقطع العلاقة السببية بين المحتوى المُدسوس وسلوك الـ LLM. ما تفعله هذه التقنية هو توظيف هذا العيب البنيوي لصالح المدافع بدلاً من المهاجم. بعبارة أخرى: ما كان يبدو مشكلة بلا حل أصبح، بقليل من الإبداع، ورقة ضغط جديدة في يد من يحمي الأنظمة.







