جوجل تكشف ثغرة تتيح اختراق بيانات التقويم عبر دعوات خبيثة

كشف باحثون في مجال الأمن السيبراني عن تفاصيل ثغرة أمنية جديدة تستغل “الحقن غير المباشر في الأوامر” (indirect prompt injection) تستهدف نظام Google Gemini، مما يسمح بتجاوز إجراءات الأمان واستخدام Google Calendar كآلية لاستخراج البيانات. تعد هذه الثغرة، والتي أطلق عليها اسم “ميغو” (Miggo)، مؤشراً جديداً على التحديات الأمنية التي تواجه تطبيقات الذكاء الاصطناعي.

تمكنت هذه الثغرة، حسبما أوضح لياد إلياهو، رئيس الأبحاث في شركة Miggo Security، من التحايل على ضوابط الخصوصية في Google Calendar عبر إخفاء حمل خبيث كامن داخل دعوة تقويم قياسية. فقد سمح هذا التجاوز بالوصول غير المصرح به إلى بيانات اجتماعات خاصة وإنشاء أحداث تقويم خادعة دون أي تفاعل مباشر من المستخدم.

ثغرة “ميغو” الأمنية وتأثيرها على Google Gemini

تبدأ سلسلة الهجوم بإنشاء حدث تقويم جديد يتم إرساله إلى الهدف، ويتضمن وصف هذا الحدث أمراً نصياً مصمماً لتنفيذ أغراض المهاجم، مما يؤدي إلى عملية حقن في الأوامر. يتم تفعيل الهجوم عندما يسأل المستخدم نظام Gemini سؤالاً عادياً حول جدوله الزمني، مثل “هل لدي أي اجتماعات يوم الثلاثاء؟”. في هذه الحالة، يقوم روبوت الدردشة بالذكاء الاصطناعي بتحليل الأمر المصمم خصيصاً ضمن وصف الحدث لتقديم ملخص لجميع اجتماعات المستخدم ليوم معين، وإضافة هذه البيانات إلى حدث تقويم جديد على Google Calendar، ثم تقديم رد غير ضار للمستخدم.

وخلف الكواليس، يقوم Gemini بإنشاء حدث تقويم جديد ويكتب ملخصاً كاملاً لاجتماعات المستخدم الخاصة في وصف الحدث. وفي العديد من إعدادات تقويم المؤسسات، يصبح هذا الحدث الجديد مرئياً للمهاجم، مما يسمح له بقراءة البيانات المسربة دون أن يتخذ المستخدم المستهدف أي إجراء.

تحديات أمنية جديدة في تطبيقات الذكاء الاصطناعي

على الرغم من معالجة هذه المشكلة بعد الإفصاح المسؤول عنها، إلا أن هذه النتائج توضح مرة أخرى أن الميزات الأصلية للذكاء الاصطناعي يمكن أن توسع من سطح الهجوم وتقدم مخاطر أمنية جديدة بشكل غير مقصود، خاصة مع تزايد استخدام المؤسسات لأدوات الذكاء الاصطناعي أو بنائها لوكلاء داخليين لأتمتة سير العمل.

وأشار إلياهو إلى أن تطبيقات الذكاء الاصطناعي يمكن التلاعب بها من خلال اللغة التي تم تصميمها لفهمها، مؤكداً أن الثغرات لم تعد محصورة في الأكواد، بل أصبحت الآن في اللغة والسياق وسلوك الذكاء الاصطناعي وقت التشغيل.

تأثير ثغرات الحقن غير المباشر

يأتي هذا الكشف بعد أيام من تفصيل شركة Varonis لهجوم أطلق عليه اسم “Reprompt”، والذي كان من الممكن أن يتيح للمهاجمين استخراج بيانات حساسة من روبوتات الدردشة التي تعمل بالذكاء الاصطناعي مثل Microsoft Copilot بنقرة واحدة، مع تجاوز ضوابط أمن المؤسسات.

توضح هذه النتائج الحاجة إلى التقييم المستمر لنماذج اللغات الكبيرة (LLMs) عبر أبعاد السلامة والأمان الرئيسية، واختبار ميلها إلى “الهلوسة”، ودقتها الواقعية، وتحيزها، وضررها، ومقاومتها للاختراقات، مع تأمين أنظمة الذكاء الاصطناعي من المشكلات التقليدية في الوقت نفسه.

ثغرات أخرى في مجال الذكاء الاصطناعي

الأسبوع الماضي فقط، كشفت شركة XM Cyber التابعة لمجموعة Schwarz عن طرق جديدة لتصعيد الامتيازات داخل Google Cloud Vertex AI Agent Engine و Ray، مما يؤكد حاجة المؤسسات إلى تدقيق كل حساب خدمة أو هوية مرتبطة بأعباء عمل الذكاء الاصطناعي الخاصة بها.

ووفقاً للباحثين إيلي شبراغا وإريز حسون، فإن هذه الثغرات تسمح لمهاجم لديه الحد الأدنى من الأذونات باختطاف وكلاء الخدمة ذوي الامتيازات العالية، وتحويل هذه الهويات “غير المرئية” بفعالية إلى “عملاء مزدوجين” يسهلون تصعيد الامتيازات.

يمكن أن يسمح الاستغلال الناجح لثغرات “العميل المزدوج” للمهاجم بقراءة جميع جلسات الدردشة، وذاكرة نماذج اللغات الكبيرة، وربما المعلومات الحساسة المخزنة في مستودعات التخزين، أو الحصول على وصول جذري إلى مجموعة Ray. ومع تأكيد جوجل على أن الخدمات “تعمل حالياً كما هو متوقع”، فمن الضروري أن تراجع المؤسسات الهويات ذات دور “المشاهد” (Viewer) وتضمن وجود ضوابط كافية لمنع حقن الأكواد غير المصرح به.

يتزامن هذا التطور مع اكتشاف عدد من الثغرات ونقاط الضعف في أنظمة ذكاء اصطناعي مختلفة:

• ثغرات أمنية (CVE-2026-0612, CVE-2026-0613, CVE-2026-0615, and CVE-2026-0616) في “The Librarian”، وهو مساعد شخصي مدعوم بالذكاء الاصطناعي تقدمه TheLibrarian.io، تتيح للمهاجم الوصول إلى بنيته الداخلية، بما في ذلك لوحة تحكم المسؤول وبيئة السحابة، وتسريب معلومات حساسة مثل بيانات التعريف السحابية، والعمليات قيد التشغيل خلف الكواليس، أو أوامر النظام، أو تسجيل الدخول إلى نظامه الداخلي.
• ثغرة توضح كيفية استخراج أوامر النظام من مساعدي نماذج اللغات الكبيرة القائمة على النوايا، عن طريق مطالبتهم بعرض المعلومات بتنسيق Base64 في حقول النماذج. وأشارت Praetorian إلى أنه “إذا كان نموذج اللغات الكبير يمكنه تنفيذ إجراءات تكتب في أي حقل، سجل، إدخال قاعدة بيانات، أو ملف، فإن كل منها يصبح قناة استخراج محتملة، بغض النظر عن مدى إحكام إغلاق واجهة الدردشة.”
• هجوم يوضح كيف يمكن استخدام إضافة خبيثة تم تحميلها إلى سوق Anthropic Claude Code لتجاوز حماية “الإنسان في حلقة المراقبة” (human-in-the-loop) عبر خطافات (hooks) واستخراج ملفات المستخدم عبر الحقن غير المباشر في الأوامر.
• ثغرة حرجة في Cursor (CVE-2026-22708) تتيح تنفيذ أوامر عن بعد عبر الحقن غير المباشر في الأوامر، وذلك باستغلال إشراف أساسي في كيفية تعامل بيئات التطوير المتكاملة (IDEs) المعتمدة على الوكلاء مع أوامر shell المدمجة. ووفقاً لشركة Pillar Security، “من خلال إساءة استخدام أوامر shell الموثوق بها ضمنياً مثل export, typeset, و declare، يمكن للمهاجمين التلاعب بشكل خفي بمتغيرات البيئة التي تسمم لاحقاً سلوك أدوات المطور المشروعة.” وتضيف الشركة أن “سلسلة الهجوم هذه تحول الأوامر العادية التي يوافق عليها المستخدم – مثل git branch أو python3 script.py – إلى متجهات لتنفيذ أكواد عشوائية.”

في تحليل أمني لخمسة بيئات تطوير متكاملة (IDEs) برمجية، وهي Cursor، و Claude Code، و OpenAI Codex، و Replit، و Devin، وجد الباحثون أن وكلاء البرمجة جيدون في تجنب ثغرات SQL injections أو XSS، لكنهم يواجهون صعوبات عند التعامل مع مشكلات SSRF، ومنطق الأعمال، وإنفاذ التفويض المناسب عند الوصول إلى واجهات برمجة التطبيقات (APIs). ومما زاد الأمر سوءاً، لم تتضمن أي من هذه الأدوات حماية CSRF، أو رؤوس أمان (security headers)، أو تحديد معدل محاولات تسجيل الدخول (login rate limiting).

ويسلط هذا الاختبار الضوء على الحدود الحالية لبرمجة الوكلاء، مبيناً أن الإشراف البشري لا يزال مفتاحياً لمعالجة هذه الثغرات. وقال أوري ديفيد من Tenzai: “لا يمكن الوثوق بوكلاء البرمجة لتصميم تطبيقات آمنة”. ورغم أنهم قد ينتجون أكواد آمنة (في بعض الأحيان)، إلا أن الوكلاء يفشلون باستمرار في تنفيذ ضوابط أمنية حرجة دون توجيه صريح. وحيثما لا تكون الحدود واضحة – مثل سير عمل منطق الأعمال، وقواعد التفويض، وغيرها من القرارات الأمنية الدقيقة – فإن الوكلاء سيرتكبون الأخطاء.