الأمن السيبراني

نقاط العمى الأمنية لمساعد الترميز بالذكاء الاصطناعي: كيف تقلب تقنية الروابط الرمزية القديمة نموذج الثقة "الإنسان في الحلقة"

أفادت شركة Wiz عن هجوم "GhostApproval" الذي يستخدم تقنية الروابط الرمزية في Unix التي عمرها 30 عامًا لخداع العديد من مساعدي البرمجة بالذكاء الاصطناعي الشائعين لتحقيق تنفيذ التعليمات البرمجية عن بعد، مما يكشف العيب الأساسي في نموذج الأمان الحالي "الإنسان في الحلقة".

عندما يصبح مساعد الترميز الذكي منصة هجوم

في عام 2025، نشرت شركة Wiz العملاقة في مجال الأمن السحابي دراسة مقلقة: العديد من مساعدي الترميز الذكيين الرئيسيين - بما في ذلك Claude Code و Amazon Q Developer و Cursor و Google Antigravity و Augment و Windsurf - يمكن خداعهم جميعًا بتقنية الارتباط الرمزي (symlink) التي نشأت في العصر المبكر لنظام Unix، مما يتيح تنفيذ التعليمات البرمجية عن بُعد دون أن يشعر المطور بذلك.

أسلوب الهجوم الأساسي المسمى GhostApproval يبدو بسيطًا: يزرع المهاجم رابطًا رمزيًا يشير إلى مسار حساس في النظام داخل المستودع الخبيث (على سبيل المثال، يتظاهر بأنه ملف تكوين المشروع، ولكنه في الواقع يشير إلى /etc/passwd أو دليل مفاتيح SSH للمستخدم). عندما يفتح المطور هذا المستودع ويطلب من المساعد الذكي "تعديل هذا الملف"، يقوم النموذج الذكي بتحليل الرابط الرمزي دون تمييز، ويعيد توجيه عملية الكتابة إلى الهدف الذي حدده المهاجم.

والأكثر خطورة، أن معظم الأدوات الذكية عند إظهار مربع حوار التأكيد، تعرض فقط المسار الأصلي للرابط الرمزي (مثل ./config.yaml)، وليس المسار الحقيقي الذي تم تحليله (مثل /etc/ssh/authorized_keys).这意味着 أن حلقة التأكيد البشرية "الإنسان في الحلقة" تفشل تمامًا - يوافق المستخدم على تعديل محلي غير ضار، بينما يقوم الوكيل الذكي بتعديل ملفات النظام الحيوية سرًا.

وهم "الإنسان في الحلقة": عدم تناسق المعلومات في حدود الثقة

كان من المفترض أن تكون آلية الأمان الأساسية لمساعدي الترميز الذكيين هي "Human-in-the-Loop" (الإنسان في الحلقة). عندما يحاول الوكيل الذكي تنفيذ عملية خطيرة، يظهر النظام مربع حوار يطلب تأكيد المستخدم. أشار باحثو Wiz بدقة: "نموذج الأمان للإنسان في الحلقة يكون فعالاً فقط عندما توفر الحلقة معلومات دقيقة. عندما يعرض الوكيل شيئًا ويفعل شيئًا آخر، تصبح موافقة المستخدم شكلاً فارغًا."

يهاجم هجوم GhostApproval بدقة نقطة ضعف أخيل لهذا التصميم: عدم تناسق المعلومات في حدود الثقة. يثق المستخدم في المسار المعروض على الواجهة، بينما يتعامل الوكيل الذكي فعليًا مع الهدف البعيد الذي يشير إليه الرابط الرمزي. هذا عدم التناسق ليس مصادفة - إنه متجذر في بنية التطبيقات الذكية الحديثة: النموذج نفسه لا يفهم دلالات نظام الملفات، فهو يعمل فقط وفقًا للتعليمات؛ والطبقة البينية لم تتمكن من عرض المعلومات الأساسية للنظام (مثل نتائج تحليل الرابط الرمزي) بشفافية للمستخدم.

ليس ثغرة جديدة، بل سطح هجوم جديد

ثغرة تتبع الرابط الرمزي (Symlink Following) كانت موجودة منذ نشأة نظام Unix.## ليست ثغرة جديدة، بل سطح هجوم جديد

ثغرة تتبع الروابط الرمزية (Symlink Following) موجودة منذ فجر نظام Unix. لكن بحث Wiz أثبت أن هذه التقنية القديمة اكتسبت قدرات هجومية جديدة تمامًا في سياق الوكلاء الذكاء الاصطناعي الجدد. تقليديًا، كانت هجمات الروابط الرمزية تُستخدم عادةً لرفع الامتيازات محليًا أو الهروب من البيئة المعزولة (sandbox)، لكن مساعدي البرمجة بالذكاء الاصطناعي يمتلكون قدرة تفاعل مع النظام أقوى من المستخدم العادي - يمكنهم القراءة والكتابة وحتى تنفيذ الأكواد، وغالبًا ما يُمنحون أذونات تتجاوز الحد الأدنى المطلوب.

عندما يبدأ وكيل الذكاء الاصطناعي في تولي المزيد من مهام التطوير (توليد الأكواد، إعادة الهيكلة، النشر)، تتزايد فرص وصوله إلى موارد النظام الحساسة بشكل هائل. GhostApproval ليست حالة منفردة: ففي عام 2025، وقعت عدة حوادث هجمات على سلاسل التوريد وحقن التعليمات (prompt injection) تستهدف وكلاء الذكاء الاصطناعي. إن سير عمل GitHub الوكيلية (Agentic Workflows) وثغرة تسريب بيانات اعتماد Amazon Q، كلها تذكرنا بأن مساعدي البرمجة بالذكاء الاصطناعي أصبحوا أهدافًا عالية القيمة ناشئة للهجمات الإلكترونية.

استجابة الصناعة: من "إصلاح الثغرات" إلى "إعادة بناء الثقة"

أبلغت Wiz جميع البائعين المتأثرين بهذه الثغرة خلال الربع الأول من عام 2025. أكدت AWS وGoogle وCursor وجود الثغرة ونشرت تصحيحاتها؛ ولم تعتبرها Anthropic (مبتكرو Claude Code) ثغرة، لكنها ادعت أنها أضافت إجراءات تخفيفية قبل تقرير Wiz. وأكدت Augment وWindsurf استلام التقرير، لكنها لم تصدر إصلاحًا بعد.

يعكس هذا الاختلاف في الاستجابة انقسامًا في التصورات حول حدود أمان الذكاء الاصطناعي: البعض يعتبرها ثغرة تقليدية في نظام الملفات، والبعض الآخر يعتبرها عيبًا في ثقة تصميم المنتج. لكن على أي حال، يكمن الحل الجذري في إعادة بناء سلسلة الثقة المعلوماتية بين المستخدم ووكيل الذكاء الاصطناعي. على وجه التحديد، يجب على أدوات الذكاء الاصطناعي عرض المسار المطلق بعد تحليله في مربعات التأكيد، مع إضافة تحذير مثل "سيؤثر هذا الإجراء على ملفات النظام الحيوية" وغيرها من التنبيهات. والحل الأكثر جرأة هو إدخال عزل أذونات نظام الملفات، مما يجعل وكيل الذكاء الاصطناعي يعمل داخل بيئة معزولة لمساحة العمل (sandbox) ولا يمكنه لمس الملفات غير الخاصة بالمشروع.

تأملات أعمق في الاتجاهات التقنية

انفجار هجوم GhostApproval هو ألم نمو حتمي في عملية تطور وكيل الذكاء الاصطناعي من "إكمال الأكواد" إلى "التشغيل الذاتي". مع بدء أدوات مثل Cursor وClaude Code وWindsurf في تنفيذ مهام متعددة الخطوات (تثبيت التبعيات، تعديل ملفات التكوين، تشغيل البرامج النصية)، أصبحت هذه الأدوات عمليًا "عمالًا رقميين" يمتلكون أذونات على مستوى النظام.تكشف هذه الاتجاهات عن ثلاث مشكلات عميقة: 1. نموذج الأمن متخلف عن النمو في القدرات: يعتمد التحكم الأمني لوكلاء الذكاء الاصطناعي الحاليين بشكل أساسي على "تأكيد المستخدم" كحاجز وحيد ضعيف، ويفتقر إلى الدفاع العميق والمراقبة أثناء التشغيل. 2. المبالغة في تقدير ثقة سلسلة التوريد: عند إدخال مطورين لمساعدي البرمجة بالذكاء الاصطناعي، يفترضون غالبًا أن المحتوى الناتج عن النماذج آمن وموثوق، ولكن المستودعات الخبيثة (مثل فخ الروابط الرمزية في الحزم مفتوحة المصدر) يمكنها تجاوز هذه الثقة بسهولة. 3. نسيان المعرفة الأمنية التقليدية: يتم إحياء المشكلات الكلاسيكية في أنظمة ملفات يونكس مثل الروابط الرمزية والروابط الصلبة و (TOCTOU) (وقت الفحص مقابل وقت الاستخدام) في عصر الذكاء الاصطناعي. يحتاج المجتمع الأمني إلى "ترجمة" عقود من الخبرات الهجومية والدفاعية إلى سياق وكلاء الذكاء الاصطناعي.

الخلاصة: ساحة المعركة التالية لأمن وكلاء الذكاء الاصطناعي

GhostApproval ليس ثغرة يتم إصلاحها مرة واحدة، بل هو نموذج لنمط هجوم. يخبرنا أنه عندما يُمنح وكيل الذكاء الاصطناعي دور "المنفذ"، يجب أن يتوسع التصميم الأمني من "مواءمة النموذج" إلى "التحقق من سلامة النظام". في المستقبل، كل أمر يولده الذكاء الاصطناعي، وكل عملية كتابة ملف، وكل استدعاء لمورد خارجي، يجب أن يمر عبر تنفيذ صندوق رمل شفاف وتدقيق يمكن للمستخدم فهمه.

بالنسبة لعمالقة التكنولوجيا، فإن إصلاح الثغرات الأمنية لوكلاء الذكاء الاصطناعي ليس مجرد متطلب امتثال، بل هو قرار تجاري حاسم لكسب ثقة المطورين. عندما تبدأ خطوط أنابيب CI/CD في الثقة بالكود المولد بواسطة الذكاء الاصطناعي، وعندما يعتاد المطورون على السماح لوكلاء الذكاء الاصطناعي بالعمل بحرية على نظام الملفات، يجب أن ينتقل التصميم الأمني من "غير جيد بما فيه الكفاية" إلى "شفاف بما فيه الكفاية". وإلا، فإن GhostApproval التالي قد يسرق مفاتيح بيئة الإنتاج بأكملها بهدوء عبر "اقتراح كود ودود".

*تستند هذه المقالة إلى التقرير الفني الذي نشرته Wiz في 30 أبريل 2025 والتقارير ذات الصلة في SecurityWeek.*

حدود المصادر · thedailytech

تضع thedailytech هذه الملاحظة ضمن أخبار التقنية / الذكاء الاصطناعي والابتكار / شركات التقنية الكبرى. ينبغي فتح روابط المصادر قبل إعادة استخدام الملخص: ما زالت التواريخ والأسماء وتغيرات الحالة تحتاج إلى تحقق. أخبار التقنية / الذكاء الاصطناعي والابتكار / شركات التقنية الكبرى يوضح الزاوية التحريرية المحلية.

Source links

  1. https://www.securityweek.com/ai-coding-tools-tricked-into-hacking-developer-machine-via-decades-old-technique/Primary

مقالات ذات صلة

العودة إلى القناة