كشفت دراسة أمنية حديثة عن ثغرة خطيرة في ملحق متصفح نموذج الذكاء الاصطناعي Claude التابع لشركة Anthropic، مما يتيح لأي إضافة أخرى، حتى تلك التي لا تمتلك صلاحيات خاصة، التحكم في وكيل الذكاء الاصطناعي. وتأتي هذه الاكتشافات وسط تزايد اعتماد الشركات والحكومات على نماذج اللغة الكبيرة (LLMs) لتنفيذ مهام معقدة والوصول إلى الإنترنت.
وتمكن باحثون أمنيون من استغلال هذه الثغرة لسحب ملفات من مجلدات Google Drive، والتجسس على نشاط البريد الإلكتروني، وإرسال رسائل باسم المستخدم، بالإضافة إلى سرقة شفرات مصدر خاصة من مستودعات GitHub المتصلة. وتشير هذه النتائج إلى تحديات كبيرة تواجه أمن وكلاء الذكاء الاصطناعي.
ثغرة أمنية تثير قلقاً حول أمان وكلاء الذكاء الاصطناعي
تكمن المشكلة الأساسية في تعليمات برمجية داخل ملحق Claude تسمح لأي نص برمجي يعمل في المتصفح بالتواصل مع النموذج دون التحقق من مصدر النص. وبحسب أفيعاد جسبان، الباحث الأمني الأول في شركة LayerX التي اكتشفت الثغرة، فإن هذا يسمح لأي إضافة بتنفيذ أوامر على ملحق Claude، حتى بدون الحاجة لصلاحيات إضافية.
أوضح جسبان أن هذا الاستغلال تجاوز إجراءات الأمان الخاصة بنموذج Claude، متجاوزاً التحقق من موافقة المستخدم، وممكنًا لتنفيذ إجراءات عبر مواقع متعددة باستخدام أدوات جوجل. وتعد هذه الثغرة خطيرة بشكل خاص لأنها تكسر النموذج الأمني لملحقات Chrome، الذي صمم لمنع مثل هذه الانتهاكات.
استغلال آليات عمل نماذج اللغة الكبيرة
يعتمد نموذج Claude في اتخاذ قراراته على تحليل النصوص، وفهم واجهة المستخدم، وتفسير لقطات الشاشة. يمكن للمهاجمين التلاعب بهذه المدخلات، مثل تعديل واجهة المستخدم لإخفاء معلومات حساسة ككلمات المرور أو مؤشرات المشاركة، ثم توجيه Claude لمشاركة ملفات مع خوادم خارجية. هذه القدرة على التلاعب ببيئة عمل الوكيل تجعل اكتشاف الهجمات أمراً صعباً.
من جهة أخرى، يستطيع نموذج الذكاء الاصطناعي، عند توجيهه، محو آثار أفعاله، مثل حذف رسائل البريد الإلكتروني، مما يزيد من صعوبة تتبع الأنشطة الضارة. وأشار أكس شارما، رئيس الأبحاث في Manifold Security، إلى أن مراقبة وكلاء الذكاء الاصطناعي من خلال الأوامر وحدها غير كافية، وأن التحدي الحقيقي يكمن في التلاعب بالبيئة المدركة للوكيل لجعله يقوم بأفعال تبدو مشروعة.
مواجهات حول معالجة الثغرة
أبلغت شركة LayerX شركة Anthropic بالثغرة في 27 أبريل. ومع ذلك، ذكرت LayerX أن الإصلاح الذي أصدرته Anthropic في 6 مايو كان “جزئياً” فقط. وأفادت Anthropic بأن هذه الثغرة كانت مضاعفة لضعف آخر سبق معالجته في تحديث مستقبلي.
على الرغم من أن الإصلاح الجديد أدخل آليات موافقة جديدة للإجراءات المميزة، مما جعل استغلال نفس الثغرة أصعب، إلا أن جسبان أكد أنه لا يزال قادراً على التحكم في وكيل Claude في بعض السيناريوهات. وأشار إلى أن الانتقال إلى “وضع مميز” دون إشعار أو موافقة المستخدم لا يزال يسمح بتجاوز فحوصات الأمان وحقن أوامر في ملحق Claude.
حتى الآن، لم ترد شركة Anthropic على طلبات التعليق بشأن هذه الأبحاث وجهود المعالجة، مما يترك تساؤلات حول مدى فعالية الحلول الأمنية الحالية لوكلاء الذكاء الاصطناعي المتقدمين. وتشكل هذه الحادثة تذكيراً بأهمية تطوير استراتيجيات أمنية قوية لمواكبة التطور السريع في تقنيات الذكاء الاصطناعي، خاصة تلك التي تتفاعل بشكل مباشر مع البيانات والخدمات الحساسة.