ضرورة كشف الأسرار: لماذا تنهار نماذج الأمن التقليدية عندما تتعامل وكلاء الذكاء الاصطناعي مع الشفرة البرمجية

في أبريل 2023 ، اكتشفت شركة سامسونج أن مهندسيها سربوا معلومات حساسة إلى شركة ChatGPTلكن ذلك كان عرضيًا. تخيّل الآن لو أن مستودعات الشفرة تلك احتوت على تعليمات مزروعة عمدًا، غير مرئية للبشر ولكن تعالجها أنظمة الذكاء الاصطناعي، مصممة لاستخراج ليس فقط الشفرة، بل كل مفتاح API وبيانات اعتماد قاعدة البيانات ورمز الخدمة الذي يمكن للذكاء الاصطناعي الوصول إليه. هذا ليس افتراضًا. لقد أثبت باحثو الأمن بالفعل تنجح هجمات "التعليمات الخفية". السؤال ليس ما إذا كان هذا سيحدث، بل متى سيحدث.

الحدود التي لم تعد موجودة

لعقود طويلة، بنينا الأمن على افتراض أساسي: الكود هو الكود، والبيانات هي البيانات. علمتنا هجمات حقن SQL كيفية تحديد معلمات الاستعلامات. وعلمتنا هجمات البرمجة النصية عبر المواقع كيفية حماية المخرجات. تعلمنا بناء جدران فاصلة بين ما تفعله البرامج وما يُدخله المستخدمون.

مع وجود وكلاء الذكاء الاصطناعي، تبخرت تلك الحدود.

على عكس البرامج الحتمية التي تتبع مسارات متوقعة، تُعدّ نماذج اللغة الكبيرة صناديق سوداء احتمالية لا تستطيع التمييز بين تعليمات المطورين المشروعة والمدخلات الخبيثة. فعندما يُدخل المهاجم تعليمات إلى مساعد برمجة يعمل بالذكاء الاصطناعي، فإنه لا يُزوّده ببيانات فحسب، بل يُعيد برمجة التطبيق بشكل فوري. وهكذا، تُصبح المدخلات هي البرنامج نفسه.

يمثل هذا تحولاً جذرياً عن كل ما نعرفه عن أمن التطبيقات. فجدران الحماية التقليدية القائمة على بناء الجملة، والتي تبحث عن أنماط خبيثة مثل DROP TABLE أو tags, fail completely against natural language attacks. Researchers have demonstrated “semantic substitution” techniques where replacing “API keys” with “apples” in prompts allows attackers to bypass filters entirely. How do you firewall intent when it’s disguised as harmless conversation?

حقيقة عدم النقر التي لا يتحدث عنها أحد

إليكم ما يغيب عن فهم معظم فرق الأمن: لا يتطلب حقن التعليمات البرمجية من المستخدم كتابة أي شيء. غالبًا ما تكون هذه ثغرات أمنية لا تتطلب أي نقرة. فبمجرد قيام برنامج ذكاء اصطناعي بمسح مستودع التعليمات البرمجية لأداء مهمة روتينية، أو مراجعة طلب سحب، أو قراءة وثائق واجهة برمجة التطبيقات، يمكنه إطلاق هجوم دون أي تدخل بشري.

لنفترض هذا السيناريو، بناءً على التقنيات التي أثبتها الباحثون بالفعليقوم مُهاجم خبيث بتضمين تعليمات غير مرئية في تعليقات HTML ضمن وثائق مكتبة مفتوحة المصدر شائعة. كل مساعد ذكاء اصطناعي يُحلل هذا الكود، سواءً كان GitHub Copilot أو Amazon CodeWhisperer أو أي مساعد برمجة مؤسسي آخر، يُصبح هدفًا محتملاً لسرقة بيانات الاعتماد. مكتبة واحدة مُخترقة قد تُعرّض آلاف بيئات التطوير للخطر.

لا يكمن الخطر في نموذج إدارة التعلم الآلي نفسه، بل في الصلاحيات التي نمنحها له. فبمجرد دمج هذه النماذج مع الأدوات وواجهات برمجة التطبيقات، والسماح لها بجلب البيانات وتنفيذ التعليمات البرمجية والوصول إلى البيانات السرية، حوّلنا أدوات مساعدة مفيدة إلى نقاط ضعف مثالية للهجمات. لا يتناسب الخطر مع ذكاء النموذج، بل مع قدرته على الاتصال.

لماذا يُعتبر النهج الحالي محكوماً عليه بالفشل

ينشغل قطاع الذكاء الاصطناعي حاليًا بـ"مواءمة" النماذج وبناء آليات حماية أفضل. وتضيف OpenAI المزيد من الضوابط، بينما تركز Anthropic على الذكاء الاصطناعي الدستوري. يسعى الجميع إلى ابتكار نماذج يصعب خداعها.

هذه معركة خاسرة.

إذا كان الذكاء الاصطناعي ذكيًا بما يكفي ليكون مفيدًا، فهو ذكي بما يكفي ليُخدع. نحن نقع فيما أسميه "فخ التطهير": افتراض أن تحسين فلترة المدخلات سينقذنا. لكن الهجمات يمكن إخفاؤها كنص غير مرئي في تعليقات HTML، أو مدفونة في أعماق الوثائق، أو مشفرة بطرق لم نتخيلها بعد. لا يمكنك تطهير ما لا يمكنك فهمه سياقيًا، والسياق هو تحديدًا ما يجعل نماذج التعلم المعزز قوية.

يجب على هذه الصناعة أن تتقبل حقيقةً مُرّة: الحقن الفوري سينجح. السؤال هو ماذا سيحدث حينها؟

التحول المعماري الذي نحتاجه

نحن حاليًا في مرحلة "التصحيح"، حيث نضيف بشكل عاجل فلاتر الإدخال وقواعد التحقق. ولكن كما تعلمنا في النهاية أن منع حقن SQL يتطلب استعلامات مُعَلمة، وليس تحسينًا في تهريب السلاسل النصية، فنحن بحاجة إلى حل معماري لأمن الذكاء الاصطناعي.

يكمن الجواب في مبدأ يبدو بسيطاً ولكنه يتطلب إعادة التفكير في كيفية بناء الأنظمة: يجب ألا تمتلك وكلاء الذكاء الاصطناعي الأسرار التي يستخدمونها.

لا يتعلق الأمر هنا بتحسين إدارة بيانات الاعتماد أو تطوير حلول الخزائن، بل يتعلق بالاعتراف بوكلاء الذكاء الاصطناعي كهويات فريدة وقابلة للتحقق، بدلاً من اعتبارهم مستخدمين يحتاجون إلى كلمات مرور. عندما يحتاج وكيل الذكاء الاصطناعي إلى الوصول إلى مورد محمي، ينبغي عليه:

1. التحقق من الهوية باستخدام هويتها القابلة للتحقق (وليس سرًا مخزنًا)

2. استلم بيانات اعتماد في الوقت المناسب صالحة فقط لتلك المهمة المحددة

3. اجعل بيانات الاعتماد هذه تنتهي صلاحيتها تلقائيًا في غضون ثوانٍ أو دقائق

4. لا تقم بتخزين أو حتى "رؤية" الأسرار طويلة الأمد

تظهر عدة مناهج. أدوار AWS IAM لحسابات الخدمة, هوية عبء العمل من جوجل, أسرار HashiCorp Vault الديناميكيةوتشير الحلول المصممة خصيصًا لهذا الغرض، مثل نظام التزويد بدون ثقة من Akeyless، إلى هذا المستقبل الخالي من الأسرار. تختلف تفاصيل التنفيذ، لكن المبدأ يبقى ثابتًا: إذا لم يكن لدى الذكاء الاصطناعي أسرارٌ ليسرقها، يصبح الحقن الفوري تهديدًا أقل بكثير.

بيئة التنمية في عام 2027

في غضون ثلاث سنوات، سيختفي ملف .env من المشهد في مجال التطوير المدعوم بالذكاء الاصطناعي. وستُعتبر مفاتيح واجهة برمجة التطبيقات (API) طويلة الأمد الموجودة في متغيرات البيئة بمثابة بقايا محرجة من زمنٍ أكثر بساطة، كما هو الحال مع كلمات المرور التي نراها الآن كنصوص عادية.

بدلاً من ذلك، سيعمل كل وكيل ذكاء اصطناعي في ظل فصل صارم للصلاحيات. الوصول للقراءة فقط افتراضياً. قائمة الإجراءات المسموح بها معيار أساسي. بيئات تنفيذ معزولة كشرط امتثال. سنتوقف عن محاولة التحكم في طريقة تفكير الذكاء الاصطناعي، وسنركز كلياً على التحكم في قدراته.

هذا ليس مجرد تطور تقني، بل هو تحول جذري في نماذج الثقة. فنحن ننتقل من مبدأ "الثقة مع التحقق" إلى مبدأ "عدم الثقة مطلقًا، والتحقق دائمًا، وافتراض وجود ثغرة أمنية". يصبح مبدأ أقل الامتيازات، الذي طالما تم الترويج له ولكن نادرًا ما يُطبق، أمرًا لا غنى عنه عندما يكون مطور البرامج المبتدئ لديك عبارة عن نظام ذكاء اصطناعي يعالج آلاف المدخلات التي يُحتمل أن تكون ضارة يوميًا.

الخيار الذي نواجهه

إن دمج الذكاء الاصطناعي في تطوير البرمجيات أمر لا مفر منه ومفيد إلى حد كبير. أفاد موقع GitHub أن المطورين الذين يستخدمون Copilot ينجزون المهام أسرع بنسبة 55%إن مكاسب الإنتاجية حقيقية، ولا يمكن لأي منظمة ترغب في الحفاظ على قدرتها التنافسية أن تتجاهلها.

لكننا نقف الآن على مفترق طرق. بإمكاننا الاستمرار على النهج الحالي بإضافة المزيد من الضوابط، وبناء مرشحات أفضل، على أمل أن نتمكن من ابتكار أنظمة ذكاء اصطناعي لا يمكن خداعها. أو بإمكاننا الاعتراف بالطبيعة الجوهرية للتهديد وإعادة بناء بنيتنا الأمنية وفقًا لذلك.

كان حادث سامسونج بمثابة جرس إنذار. لن يكون الاختراق التالي عرضيًا، ولن يقتصر على شركة واحدة. فمع ازدياد قدرات أنظمة الذكاء الاصطناعي ووصولها إلى المزيد من الأنظمة، يتضاعف الأثر المحتمل بشكل هائل.

السؤال الذي يطرح نفسه على كل مسؤول أمن معلومات، وكل قائد هندسي، وكل مطور برامج هو سؤال بسيط: عندما ينجح حقن البيانات في بيئتك (وهو أمر حتمي)، فماذا سيجد المهاجم؟ هل سيكتشف كنزًا دفينًا من بيانات الاعتماد طويلة الأمد، أم سيجد وكيل ذكاء اصطناعي، على الرغم من اختراقه، لا يملك أي أسرار ليسرقها؟

إن الخيار الذي نتخذه الآن سيحدد ما إذا كان الذكاء الاصطناعي سيصبح أعظم محفز لتطوير البرمجيات أم أكبر ثغرة أمنية خلقناها على الإطلاق. تتوفر اليوم التكنولوجيا اللازمة لبناء أنظمة ذكاء اصطناعي آمنة وخالية من الأسرار. والسؤال هو: هل سنطبقها قبل أن يجبرنا المهاجمون على ذلك؟

وقد حددت منظمة OWASP بالفعل الحقن الفوري باعتباره الخطر رقم 1 ضمن أفضل عشرة برامج لطلبات الحصول على درجة الماجستير في القانون. يقوم المعهد الوطني للمعايير والتكنولوجيا (NIST) بتطوير إرشادات. فيما يتعلق ببنى الثقة الصفرية، فإن الأطر موجودة. السؤال الوحيد هو سرعة التنفيذ مقابل تطور الهجمات.

نبذة: رفائيل أنجيل هو المؤسس المشارك والمدير التقني لشركة اكيليسحيث طوّر تقنية التشفير الحاصلة على براءة اختراع "انعدام الثقة" الخاصة بالشركة. يتمتع رفائيل بخبرة واسعة في هندسة البرمجيات، لا سيما في مجال التشفير وأمن الحوسبة السحابية. شغل سابقًا منصب مهندس برمجيات أول في مركز البحث والتطوير التابع لشركة إنتويت في إسرائيل، حيث قام ببناء أنظمة لإدارة مفاتيح التشفير في بيئات الحوسبة السحابية العامة، وصمم خدمات مصادقة الأجهزة. يحمل رفائيل شهادة بكالوريوس في علوم الحاسوب من كلية القدس للتكنولوجيا، والتي حصل عليها في سن التاسعة عشرة.