تُحدَّث يومياً

مصدرُك العربي
لمستقبل الذكاء الاصطناعي

أخبار، تقارير، أدوات وتحليلات يومية — كل ما تحتاجه لمتابعة ثورة الذكاء الاصطناعي باللغة العربية

✅ تم الاشتراك!
أخبار الذكاء الاصطناعياختيار المحررين

“قنبلة السياق” تحوّل حقن المطالبات سلاحاً دفاعياً ضد وكلاء اختراق الذكاء الاصطناعي

بقلم: ليلى | محررة أدوات المطورين · صوت تحريري بإشراف بشري

في 152 محاولة اختراق محاكاة على بيئة AWS، انخفض معدل نجاح وكلاء الذكاء الاصطناعي في انتزاع صلاحيات المدير الكامل من 57% إلى 5% فحسب — بمجرد زرع نص واحد في موضع حساس. (وفقاً لـ Tracebit)

الفكرة مقلوبة تماماً: السلاح الذي استخدمه المهاجمون لسنوات ضد أنظمة الذكاء الاصطناعي — حقن المطالبات — بات الآن في يد المدافعين. شركة الأمن Tracebit طوّرت تقنية أطلقت عليها اسم “context bombing”، تعمل بوضع مطالبات مصطنعة بجانب كلمات المرور والمفاتيح التشفيرية وبيانات اعتماد AWS. حين يعثر عليها وكيل ذكاء اصطناعي مهاجم خلال مسح البنية التحتية، يتلقى أمراً يُفضي إلى تفعيل آلية الرفض المدمجة في النموذج — فينهار المسار كله.

الآلية مباشرة: المطالبة المزروعة تطلب من النموذج تنفيذ أمر محظور بالمطلق — كالسؤال عن كيفية تحضير جراثيم الجمرة الخبيثة القابلة للاستنشاق، أو الإشارة إلى صورة الرجل الواقف أمام الدبابة في ميدان تيانانمن 1989 في حالة النماذج الصينية. بمجرد دخول هذا المحتوى إلى سياق النموذج، يتوقف عن اتباع أي أوامر أخرى — ولا يعود قادراً على الخروج من هذه الحالة بسهولة. يُفسّر آندي سميث، المؤسس والرئيس التنفيذي لـ Tracebit، تسمية التقنية بقوله: “ما نحاول توصيفه هو أن هذا يُحدث أثراً حاداً وقوياً يصعب على الوكلاء التعافي منه — فبمجرد دخول هذا المحتوى إلى السياق، يستمر الرفض”.

اختبر الباحثون التقنية على خمسة نماذج داخل بيئة AWS محاكاة: Opus 4.8، وGemini 3.1 Pro، وGLM 5.2، وDeepSeek 4 Pro، وKimi 2.6، وذلك عبر إعطائها مهام تطويرية روتينية تدفعها لجرد الموارد والعثور على النصوص المزروعة. النتائج عبر 152 تشغيلاً جاءت حادة:

  1. معدل التصعيد إلى صلاحيات المدير انخفض من 57% إلى 5%. (وفقاً لـ Tracebit)
  2. التصعيد مع الإبقاء على موطئ قدم دائم (persistent foothold) تراجع من 36% إلى 1%. (وفقاً لـ Tracebit)
  3. نسبة التشغيلات التي نجحت في بلوغ أي مسار هجومي هوت من 91% إلى 15%. (وفقاً لـ Tracebit)
  4. متوسط المسارات المكتملة لكل تشغيل تقلّص من 1.53 مساراً إلى 0.16 فقط. (وفقاً لـ Tracebit)
  5. لم يكن بوسع أي تشغيل إكمال مسار هجومي دون تفعيل كاشف القنارية على الأقل. (وفقاً لـ Tracebit)
  6. النموذج الأكثر كفاءة في الاختبار، Opus 4.8، انتقل من نجاح بنسبة 93% في اختراق المدير إلى صفر نجاحات حين يواجه قنبلة السياق. (وفقاً لـ Tracebit)

هذه الخطوة لم تأتِ من فراغ. في مايو الماضي، أطلقت Tracebit طريقة الكشف المبكر عبر موارد AWS الوهمية — على غرار الكناري الذي كانت يُستخدم في مناجم الفحم لرصد الغاز السام — إذ تُرسل تنبيهاً فور بدء وكيل مهاجم في التحقيق بها. متوسط وقت الإنذار كان 8 دقائق من بدء الهجوم. لكن المشكلة كانت أن وكلاء الاختراق يحتاجون في المتوسط 14 دقيقة فحسب للوصول إلى التحكم الكامل — وست دقائق من الهامش غير مريحة في بيئات الإنتاج الحساسة. context bombing جاءت للوقف التام، لا مجرد الإنذار.

المفارقة الجديرة بالملاحظة أن المهاجمين أنفسهم سبقوا المدافعين في استخدام هذا النهج. الشهر الماضي، اكتشفت شركة Socket وكيل LLM يوجّه نماذج مستهدفة لطلب تعليمات بناء أسلحة نووية أو بيولوجية — بهدف تعطيل أنظمة تحليل البرمجيات الخبيثة المدعومة بالذكاء الاصطناعي. كما رصدت Check Point نموذجاً أولياً لبرمجية خبيثة مشابهة. ما فعلته Tracebit هو قلب هذا السلاح كاملاً لصالح الدفاع — وهو ما يبدو أنه الأول من نوعه. البروفيسور إيرلنس فيرناندس من جامعة UC San Diego، المتخصص في أمن الذكاء الاصطناعي، علّق بصراحة: “لم أرَ أحداً يستخدم هذه التقنية دفاعياً في حدود علمي. كنت أفكر في نهج مشابه، لكنهم سبقوني!”

الواقع الذي تكشفه هذه الأبحاث لا يحتمل الوصفات السهلة: حقن المطالبات مشكلة جذرية لا حل معروف لها حتى اليوم، وكل ما أمكن للمطورين فعله هو بناء حواجز حماية معقدة تحول دون خروج النموذج عن المسار. context bombing لا تحل هذه المشكلة الجذرية، بل تحوّل الحائط نفسه إلى سلاح — وهذا تحول في التفكير الأمني بقدر ما هو تحول في التقنية. السؤال الحقيقي الذي يطرحه هذا العمل: إذا كانت النماذج الكبيرة تحمل في داخلها آليات رفض حاكمة لا يمكن تجاوزها، فما الذي يمنع المدافعين من توظيف هذه الحواجز نفسها في بنياتهم التحتية بشكل ممنهج؟

Wired

مقالات ذات صلة

زر الذهاب إلى الأعلى