اكتشاف ثغرة “AutoJack”: كيف يمكن لوكلاء الذكاء الاصطناعي أن يصبحوا ناقلين للتعليمات البرمجية الضارة

كشف باحثون في مايكروسوفت عن سلسلة من الثغرات الأمنية، أطلقوا عليها اسم “AutoJack”، يمكنها تحويل وكلاء الذكاء الاصطناعي المتصفحين إلى أدوات لتنفيذ تعليمات برمجية عن بعد، مما يثير مخاوف جديدة بشأن أمن هذه التقنيات الناشئة. تسمح هذه الثغرة ببلوغ خدمة محلية ذات صلاحيات عالية على نفس الجهاز، ومن ثم إنشاء عملية على النظام المضيف دون الحاجة إلى بيانات اعتماد أو تفاعل إضافي من المستخدم.

تم اكتشاف هذه الثغرة في واجهة “AutoGen Studio” مفتوحة المصدر، وهي أداة لتطوير نماذج وكلاء الذكاء الاصطناعي المتعددة من مايكروسوفت للأبحاث. وتؤكد الشركة على أن الثغرة لا تؤثر على جميع المستخدمين الذين يقومون بتثبيت الحزمة، بل تقتصر على إصدارات محددة.

فهم آلية عمل ثغرة “AutoJack”

تعتمد ثغرة AutoJack على سلسلة من ثلاث نقاط ضعف رئيسية في بروتوكول WebSocket الخاص بالواجهة. تعطي هذه الثغرات فرصة للتعليمات البرمجية الضارة بالوصول إلى وظائف حساسة.

نقاط الضعف الثلاث الرئيسية

• **الثقة في “localhost”**: يعتمد وكيل المتصفح على هوية “localhost” عند الوصول إلى صفحات الويب، مما يسمح له باجتياز عمليات التحقق الأمنية المعتادة التي تهدف لمنع المواقع الضارة.
• **تجاوز المصادقة**: يتجاهل الوسطاء الأمنيون المسارات الخاصة بالبروتوكول، بافتراض أن معالجات الأوامر ستتحقق من الرموز المميزة بشكل مستقل، مما يسمح باتصالات غير مصادق عليها.
• **تنفيذ الأوامر مباشرة**: يستقبل نقطة النهاية أمراً تنفيذياً مباشرة من معامل طلب، دون وجود قائمة بيضاء تحدد البرامج القابلة للتنفيذ، مما يمنح المهاجم القدرة على تشغيل أي أمر.

عند ربط هذه الثغرات معًا، يمكن لصفحة ويب موجودة على الإنترنت، يتم عرضها بواسطة وكيل يعمل محليًا، تنفيذ أوامر يختارها المهاجم تحت حساب المستخدم الذي يشغل AutoGen Studio.

التأثير والإصلاحات المتاحة

أكدت مايكروسوفت أن هذا الاكتشاف يعكس أبحاثًا ولا يتعلق بحملات استغلال نشطة، مشيرة إلى عدم وجود تقارير عن استغلال الثغرة في البرية. تم الإبلاغ عن السلوك إلى مركز الاستجابة الأمنية لمايكروسوفت، وقام المطورون بتقوية الفرع الرئيسي للبرنامج.

ماذا يفعل المستخدمون؟

بالنسبة للمستخدمين، فإن تثبيت AutoGen Studio باستخدام الأمر pip install autogenstudio بشكل عادي يوفر الإصدار 0.4.2.2، وهو خالٍ من المسار الذي يحتوي على الثغرة. ومع ذلك، فإن المستخدمين الذين قاموا بتثبيت إصدارات ما قبل الإطلاق (pre-release) يحملون المعالج الضعيف، ولا يوجد حاليًا إصدار متاح على PyPI يتضمن التصحيح.

التوصيات الأمنية

حتى يتم إصدار تحديث رسمي، ينصح بفصل المكونات التي يمكن أن تستغلها الهجمات. لا ينبغي تشغيل AutoGen Studio على نفس الجهاز الذي يعمل عليه وكيل متصفح أو وكيل تنفيذ أكواد يتعامل مع محتوى غير موثوق به، وذلك لأن سلسلة الثغرات تعمل فقط عندما يتشاركان نفس الاتصال المحلي. في حال الضرورة، يجب عزل هذه المكونات في حاويات أو أجهزة افتراضية منفصلة، وتشغيل AutoGen Studio تحت حساب محدود الصلاحيات.

تُظهر المشكلة نمطًا متكررًا في أطر عمل الوكلاء الأخرى، حيث توجد خدمة محلية ذات صلاحيات زائدة، وفحص “localhost” يتم التعامل معه كآلية أمنية، ووكيل يفتح صفحات غير موثوق بها. تؤكد مايكروسوفت أن مجرد الاعتماد على فحص “localhost” لم يعد كافيًا، وأن المصادقة على مستوى التحكم، والتحكم في تنفيذ العمليات عبر قائمة بيضاء، ومنح الوكيل هوية منفصلة عن هوية المطور، كلها خطوات ضرورية لضمان الأمان.