أغلقت Anthropic و Google و Microsoft بصمت الأخطاء في وكلاء الذكاء الاصطناعي بدون CVE وتحذيرات

تبيّن أن مشكلة الوكلاء الذين يعتمدون على الذكاء الاصطناعي في التطوير ليست نظرية بطبيعتها: أظهر باحث الأمان Aonan Guan أن أدوات Anthropic و Google و Microsoft المدمجة في GitHub Actions يمكن اعتراضها من خلال حقن المحفزات وتحويلها إلى قناة لتسرب الأسرار. في جميع الحالات الثلاث، كان يحتاج الوكيل فقط إلى قراءة نص أعده المهاجم في سياق عمل عادي، وبعد ذلك كان ينشر بمفرده مفاتيح API وتوكنات GitHub وبيانات بيئة CI الأخرى. حصل الهجوم على تسمية Comment and Control.

جوهره هو أن الإرشادات الضارة لا تُخفى في برنامج استغلال منفصل أو خادم خارجي، بل مباشرة في بيانات GitHub التي يكون الوكيل ملزماً بالفعل بقراءتها لعمله: في رأس طلب السحب، في وصف المشكلة، في التعليقات وفي أحد السيناريوهات حتى في تعليق HTML مخفي. بعد ذلك، يدرك الوكيل النص ليس كبيانات بل كأمر. من هناك، يكون المخطط بسيطاً: يقرأ الروبوت التعليمات المحقونة، وينفذ الإجراء المطلوب، ويستخرج الأسرار من بيئة تشغيل GitHub Actions، ويعيد النتيجة مباشرة إلى GitHub — على سبيل المثال، في تعليق PR أو تعليق المشكلة أو التزام أو سجل خط الأنابيب.

في حالة Anthropic، كان المكون الضعيف هو Claude Code Security Review — إجراء GitHub للتحقق من طلبات السحب لمشاكل الأمان. أظهر Guan أنه كان كافياً حقن حمولة في رأس PR ليقوم الوكيل بتنفيذ الأوامر وإدراج النتيجة في استجابة JSON، التي تم نشرها بعد ذلك في تعليق. وفقاً للخط الزمني للباحث، تم إرسال التقرير إلى Anthropic في 17 أكتوبر 2025، وأسندت الشركة المشكلة درجة CVSS بقيمة 9.

4 وفي 25 نوفمبر دفعت 100 دولار كمكافأة العثور على الثغرات. انحصرت الإصلاحات في تقييد جزئي للاستدعاءات الخطرة وتحديث قسم اعتبارات الأمان في التوثيق، لكن الشركة لم تصدر تنبيهاً أمنياً علنياً ولا CVE منفصل. كان سيناريو مشابه ناجحاً ضد إجراء Google Gemini CLI Action.

هنا أضاف المهاجم إلى المشاكل والتعليقات نصاً يتظاهر بأنه جزء سياق موثوق به وألغى تعليمات حماية النموذج. نتيجة لذلك، كان الوكيل ينشر مفتاح GEMINI_API_KEY الخاص به كتعليق عادي. وفقاً للخط الزمني لـ Guan، تلقى Google التقرير في 29 أكتوبر 2025 وفي 20 يناير 2026 دفع 1337 دولاراً.

كان لدى GitHub Copilot Agent، الذي ينتمي إلى خط منتجات Microsoft، مخطط أكثر إثارة للاهتمام: تم وضع التعليمات الضارة في تعليق HTML غير مرئي للإنسان في عرض Markdown لكن قابل للقراءة من قبل الوكيل. بعد تعيين المهمة، كان Copilot يتبع هذه التعليمات على الرغم من طبقات الحماية الإضافية مثل تصفية البيئة والفحص السري والقيود على الشبكة. أغلقت GitHub التقرير في البداية كمعلومات، ثم بعد مراجعة إضافية أعادت فتحه ودفعت 500 دولار في 9 مارس.

الاستنتاج الأكثر عدم سرور هنا ليس حول حجم المكافأة، بل عن نموذج الإفصاح. لم تصدر Anthropic ولا Google ولا GitHub تحذيرات عامة بالشكل المعتاد للأمن، ولم تظهر CVEs لهذه الحالات. هذا يعني أن الفرق التي أرّخت الإصدارات القديمة من الإجراءات أو التكاملات قد لا تعرف عن المخاطر.

بالنسبة لماسحات الثغرات، مثل هذه المشكلة كما لو لم تكن موجودة، لأنها لا تملك معرفاً موحداً. بالنسبة لفرق الأمان، من الأصعب السيطرة عليها وتتبعها في السجلات وربطها بإجراءات إصلاح داخلية. رسمياً، كان بإمكان الشركات اعتبار حقن المحفزات ليس عيباً كلاسيكياً في الكود، بل تأثيراً جانبياً لمعمارية الوكيل، لكن من وجهة نظر عملية النتائج هي نفسها كما مع أي ثغرة حرجة: تسرب مفاتيح الوصول والتوكنات من البيئة حيث تعمل الأتمتة.

القصة مهمة أيضاً لأنها تطعن افتراضاً أساسياً يكمن وراء موجة كاملة من أتمتة الذكاء الاصطناعي في التطوير. يُعطى الوكيل في نفس الوقت إمكانية الوصول إلى مدخلات المستخدم غير الموثوقة والأدوات لتنفيذ الأوامر والأسرار الحساسة، لأنه بخلاف ذلك لن يتمكن من القيام بعمل مفيد. إنه هذا التوليف بالذات الذي يخلق خطراً نظامياً.

إذا استمرت الصناعة في دمج مثل هؤلاء الوكلاء في مراجعة الكود والفرز والنشر و CI/CD بدون نموذج عزل مناسب وإجراء الإفصاح عن الحوادث، فإن الهجمات من هذا القبيل ستصبح ليست استثناءً بل جزءاً عادياً من نموذج التهديد.