كشف باحثون أمنيون مؤخراً عن حزمة برمجية خبيثة على مستودع PyPI، وهي المصدر الرئيسي لحزم لغة البرمجة بايثون، والتي تتخفى كأداة لتشغيل نماذج الذكاء الاصطناعي بشكل آمن، لكنها في الواقع تقوم بسرقة بيانات المستخدمين الحساسة.
الحزمة، المسماة hermes-px، وُصفت بأنها “بروكسي استدلال ذكاء اصطناعي آمن” تهدف إلى توجيه جميع طلبات الذكاء الاصطناعي عبر شبكة Tor لضمان خصوصية المستخدم. ومع ذلك، فإن التحقيقات كشفت أنها تستغل نقطة نهاية داخلية لجامعة خاصة، وتجمع جميع الرسائل التي يرسلها المستخدمون، وتكشف عن عناوين IP الحقيقية للضحايا دون علمهم.
الكشف عن حزمة قرصنة بيانات الذكاء الاصطناعي على PyPI
تم اكتشاف الحزمة الخبيثة hermes-px بواسطة باحثين من JFrog Security في 5 أبريل 2026. وقد برزت هذه الحزمة لمدى إقناعها، حيث تضمنت وثائق مفصلة، تعليمات تثبيت، أمثلة برمجية، ودليل ترحيل من مجموعة أدوات OpenAI Python SDK، بالإضافة إلى خط أنابيب فعال لـ Retrieval-Augmented Generation.
قدمت الحزمة نفسها كمنتج لشركة وهمية تُدعى “EGen Labs”، مع واجهة برمجة تطبيقات مطابقة تقريباً لمكتبة OpenAI الأصلية. وبالتالي، فإن المطورين الذين يبحثون عن أداة ذكاء اصطناعي مجانية تركز على الخصوصية لن يكون لديهم سبب مباشر للشك في وجود مشكلة.
بقيادة الباحث الأمني جاي كوروليفسكي، كشف فريق JFrog عن كيفية قيام الحزمة بتوجيه كل محادثة للمستخدم سراً إلى قاعدة بيانات Supabase يتحكم بها المهاجم، كل ذلك أثناء تقديم وعود كاذبة بإخفاء الهوية عبر Tor.
استهداف المطورين
استهدفت الحزمة بشكل خاص مطوري البرمجيات الذين يعملون مع نماذج الذكاء الاصطناعي ويبحثون عن بديل مجاني وسهل الاستخدام لأدوات التطوير المدفوعة. بمجرد تثبيتها من PyPI ودمجها في مشروع نشط، كانت كل “مُدخل” (prompt) يرسله المطور يتم تسجيله بهدوء دون أي علامة مرئية.
علاوة على ذلك، تضمن ملف README الخاص بالحزمة قسماً بعنوان “Interactive Learning CLI” يوجه المستخدمين إلى سحب وتنفيذ سكربت بايثون مباشرة من عنوان GitHub وقت التشغيل. هذا وفر للمهاجم قناة ثانوية لتنفيذ الأكواد، مما يسمح بتوصيل حمولات خبيثة محدثة دون الحاجة إلى نشر إصدار جديد من الحزمة.
التأثيرات الواسعة لـ hermes-px
تجاوز التأثير الأوسع مجرد جمع البيانات. فقد استغل المستخدمون دون علمهم البنية التحتية للذكاء الاصطناعي الخاصة بالجامعة المركزية، وهي أكبر جامعة خاصة في تونس، دون موافقتها أو معرفتها. والأسوأ من ذلك، أن عملية سرقة البيانات تجاوزت شبكة Tor تماماً واستخدمت اتصال الإنترنت المباشر للضحية، مما كشف عن عنوان IP الحقيقي الخاص بهم – وهو الحماية التي وعدت بها hermes-px علناً.
كيف استخدم المحفز المسروق هجوم الذكاء الاصطناعي
في قلب hermes-px، كان هناك ملف مضغوط يسمى base_prompt.pz، يحتوي على محفز نظام ضخم يبلغ 246,000 حرف. عند فك الضغط، تبين أنه نسخة شبه كاملة من محفز نظام Claude Code الخاص بشركة Anthropic. حاول المهاجم إعادة تسميته عن طريق استبدال “Claude” بـ “AXIOM-1” و “Anthropic” بـ “EGen Labs”، لكن الاستبدال كان غير مكتمل.
نجت ستة إشارات إلى “Claude” واثنتان إلى “Anthropic”، بالإضافة إلى أسماء وظائف خاصة بـ Claude، وعلامات بنية تحتية داخلية، ومسارات نظام ملفات Sandbox التي لا يمكن أن تحتوي عليها محفزات مُصطنعة بشكل واقعي. تم حقن هذا المحفز المسروق في كل استدعاء لواجهة برمجة التطبيقات، إلى جانب حمولات مشفرة تحاكي تعليمات روبوت الدردشة الاستشارية الأكاديمية من الخدمة الداخلية للجامعة.
آلية التشفير والتخفي
لحماية هذه الأسرار المسروقة من أدوات الأمان، استخدمت الحزمة سلسلة تمويه ثلاثية الطبقات: تم تشفير جميع النصوص الحساسة أولاً باستخدام XOR ومفتاح دوار بطول 210 بايت، ثم تم ضغطها باستخدام zlib، وأخيراً تم ترميزها بتنسيق base64. لم تكن هناك بيانات اعتماد قابلة للقراءة أو عناوين URL لنقطة نهاية في أي مكان في ملفات الحزمة الثابتة، وتم فك تشفير جميع القيم فقط في الذاكرة وقت التشغيل، مما جعل التحليل الثابت القياسي غير فعال إلى حد كبير ضد هذا النوع من التهديدات المخفية.
يُنصح بشدة بأن يقوم أي شخص قام بتثبيت hermes-px بإزالته فوراً عن طريق تشغيل الأمر pip uninstall hermes-px. يجب أيضاً تدوير جميع بيانات الاعتماد، مفاتيح API، أو البيانات الحساسة التي تم تضمينها في الطلبات المرسلة عبر الحزمة دون تأخير.
يجب معاملة كل محادثة مرت عبر الحزمة على أنها تم التقاطها بالكامل ومراجعتها بعناية بحثاً عن كلمات المرور، عناوين URL الداخلية، الأكواد الخاصة، أو المعلومات الشخصية. يُنصح بمنع نقطة نهاية سرقة البيانات الخاصة بالمهاجم (urlvoelpilswwxkiosey[.]supabase[.]co) على مستوى الشبكة. وإذا تم تثبيت Tor لهذه الحزمة، فإن إزالته ستساعد في تقليل مساحة الهجوم العامة.