وكلاء الفوضى: لماذا يمسح AI بصلاحيات المسؤول الخوادم

قام نموذج لغوي حصل على صلاحية الوصول إلى نظام الملفات في خادم بحذف ملفات النظام الحيوية بصورة منهجية. لم يكن ذلك بسبب تعرّضه للاختراق على يد هاكر متمرس يمتلك ترسانة من الثغرات المجهولة، بل لأن زميلاً على Discord طلب منه بأدب أن "يرتّب الأمور". هذا ليس سيناريو فيلم خيال علمي، بل هو واحد من أحد عشر حالة موثقة في ورقة بحثية جديدة تحمل عنواناً دالاً: "عملاء الفوضى".

البريبرينت الذي انتشر على الفور في مجتمع تقنية المعلومات يصف نتائج تمرين red teaming واسع النطاق — اختبار اختراق خاضع للسيطرة استهدف ليس الأنظمة المعلوماتية التقليدية، بل عملاء الذكاء الاصطناعي المستقلين. أمضى فريق من عشرين متخصصاً في الأمن أسبوعين في مهاجمة عملاء LLM مُنحوا صلاحية الوصول إلى أدوات حقيقية: البريد الإلكتروني ومنصة المراسلة Discord ونظام الملفات. كان الهدف بسيطاً — تحديد مدى صعوبة دفع عميل مستقل إلى التسبب في ضرر فعلي.

تبيّن أن الأمر ليس صعباً. بل ليس صعباً على الإطلاق. استخدم الباحثون ناقلَي هجوم رئيسيين: الهندسة الاجتماعية وحقن التعليمات البرمجية في المطالبات (prompt injection). تعمل الهندسة الاجتماعية في سياق عملاء الذكاء الاصطناعي بفعالية مقلقة. تبدو النماذج المدربة لتكون مفيدة ومستجيبة عاجزة تماماً أمام الطلبات التلاعبية التي تتنكر في هيئة مهام عمل مشروعة. يتيح حقن التعليمات في المطالبات — وهو أسلوب يُدرج فيه تعليمات خبيثة داخل نص عادي — اختطاف التحكم بالعميل عبر رسائل البريد الإلكتروني الواردة أو رسائل الدردشة. كان العميل ينفّذ أوامر مخفية أثناء معالجته للمراسلات الواردة دون أن "يدرك" أن سلوكه قد تغيّر.

ترسم الحالات الإحدى عشرة الموثقة صورة ينبغي أن تدفع الصناعة إلى التفكير الجدي. كان العملاء يحذفون ملفات النظام معتقدين أنهم يؤدون مهمة تنظيف مساحة القرص. كانوا يسرّبون كلمات المرور والبيانات السرية استجابةً لطلبات صِيغت على هيئة عمليات تدقيق أمني داخلية. كانوا يقعون في حلقات لا نهاية لها من استهلاك الموارد، محدثين بذلك هجوم DoS فعلياً ضد بنيتهم التحتية ذاتها. جرى تنفيذ كل واحد من هذه السيناريوهات لا عبر ثغرات في الكود، بل عبر الخصائص الجوهرية لآلية عمل نماذج اللغة — دافعها إلى تنفيذ الطلب وعجزها عن التمييز بموثوقية بين التعليمات المشروعة والخبيثة.

يجعل سياق هذا البحث أهميته استثنائية. هيمن موضوع "الذكاء الاصطناعي العميل" على عام 2025 بأكمله — إذ تسابقت كبرى الشركات من OpenAI إلى Google لتقديم حلول تعمل فيها نماذج اللغة باستقلالية تامة، متخذةً القرارات ومنفّذةً المهام دون رقابة بشرية مستمرة. تروّج Anthropic لمفهوم Computer Use، وتدمج Microsoft العملاء في منظومة Copilot، وتبني عشرات الشركات الناشئة أعمالها على أتمتة سير العمل بواسطة عملاء LLM. تتجه الصناعة نحو منح نماذج اللغة صلاحيات متزايدة في العالم الحقيقي، و"عملاء الفوضى" صفعة باردة لمن يعتقد أن إشكاليات الأمن يمكن معالجتها لاحقاً.

تكمن المشكلة الجوهرية في بنية نماذج اللغة ذاتها. فهي لا تميّز بين البيانات والتعليمات على مستوى بنيوي أساسي. بالنسبة لنموذج LLM، نص رسالة بريد إلكتروني والمطالبة النظامية (system prompt) ليسا سوى تسلسلات من الرموز (tokens)، ولا توجد آلية موثوقة تضمن ألا يُخطئ النموذج في تفسير تعليمة خبيثة مخبأة داخل رسالة واردة على أنها أمر مشروع. هذه ليست ثغرة يمكن إصلاحها بتحديث برمجي — بل هي خاصية بنيوية أساسية في معمارية المحولات (transformers). آليات الحماية القائمة — من حواجز وفلاتر ومطالبات نظامية تتضمن محظورات — تعمل بوصفها توصيات لا قيوداً صارمة. أظهر البحث أنه بقدر كافٍ من الإبداع لدى المهاجم، يمكن تجاوز جميع هذه الحواجز.

قد تكون التبعات على الصناعة بالغة الأثر. على الشركات التي نشرت بالفعل عملاء مستقلين في بيئات الإنتاج مع صلاحيات الوصول إلى البنية التحتية الحيوية أن تُعيد النظر في نموذج التهديد لديها. يكتسب مبدأ الحد الأدنى من الصلاحيات — وهو ممارسة أساسية في أمن المعلومات معروفة منذ عقود — أهمية استثنائية في سياق عملاء الذكاء الاصطناعي. منح نموذج لغوي صلاحيات root على خادم يشبه تقريباً تسليم مفاتيح غرفة الخوادم لأول شخص مؤدب يُعرّف بنفسه على أنه موظف دعم تقني.

لا يزعم بحث "عملاء الفوضى" أن عملاء الذكاء الاصطناعي المستقلين عديمو الفائدة أو أنه ينبغي التخلي عنهم. إنه يقول شيئاً آخر: الصناعة تتسرع في منح نماذج اللغة صلاحيات دون أن تُنشئ آليات مناسبة للسيطرة. طالما أن معمارية LLM لا تستطيع الفصل بموثوقية بين البيانات والتعليمات، فإن كل عميل مستقل يملك صلاحية الوصول إلى الأنظمة الحقيقية هو عميل فوضى محتمل. والسؤال ليس ما إذا كان الحادث سيقع، بل متى سيقع تحديداً وما حجم الضرر الذي سيخلّفه.