9 مارس، 2026 | وقت القراءة: 13 دقيقة و 37 ثانية
المقدمة: حساب الحساب الأمني للوكلاء
أمضينا السنتين الماضيتين نسرع لنشر وكلاء الذكاء الاصطناعي في كل مكان. في محررات الأكواد الخاصة بنا وفي أنظمة دعم العملاء، في خطوط أنابيب CI/CD وفي إدارة البنية التحتية. كان الإيقاع مخدراً. وكيل يمكنه أن يصيغ طلبات السحب. آخر يمكنه الرد على تنبيهات الأمان. ثالث يمكنه إدارة ترحيل قواعد البيانات. بدا كل واحد منهم مضاعفاً على قدرات الإنسان.
ثم بدأت الحوادث.
في فبراير 2026، أصبح OpenClaw - أسرع مشروع مفتوح المصدر متنامياً في تاريخ GitHub مع أكثر من 188000 نجمة - مركز أول أزمة أمان رئيسية لوكيل AI. تم اكتشاف ثغرات حرجة عبر سوقها الذي يضم أكثر من 5700 مهارة مدمجة من المجتمع. كانت الممثلون الضار قد حملوا مهارات بدت وكأنها تؤدي مهام أتمتة شرعية ولكنها أخذت بسرية بيانات حساسة من الآلات المحلية للمستخدمين. تم تحديد أكثر من 21000 نسخة مكشوفة. كان الوكيل الذي كان من المفترض أن يساعدك يساعد نفسه بملفاتك.
لم تكن هذه حادثة معزولة. كانت الشمعة الكناري في منجم الفحم لمشكلة على مستوى الصناعة. الخصائص نفسها التي تجعل وكلاء الذكاء الاصطناعي مفيداً - الاستقلالية والوصول إلى الأدوات والذاكرة الدائمة والقدرة على تنفيذ الأكواد - تجعلهم خطيراً بشكل استثنائي عند اختراقهم أو إساءة تكوينهم. لقد دخلنا عصر أمان وكيل AI الفاعل، ومعظم المنظمات غير مستعدة لما يعنيه ذلك.
مشكلة الوكيل الظليلي
أكثر التهديدات خطراً في أمان وكيل AI الفاعل هي التهديد التي لا تعرف عنها معظم المنظمات حتى: الوكلاء الظلليين.
الوكلاء الظلليون هم سير عمل AI المستقلة التي أنشأها الموظفون باستخدام الحسابات الشخصية أو منصات الأتمتة منخفضة الأكواد أو واجهات برمجية غير معتمدة. يعملون خارج نطاق فرق تكنولوجيا المعلومات والأمان، مع أذونات مفرطة، بدون مسار تدقيق وبدون إدارة دورة الحياة. فكر فيهم كمعادل AI للـ Shadow IT، لكن مع قدرة أكبر وخطورة بشكل كبير.
كيف ينشأ الوكلاء الظلليون
النمط متوقع. يقوم مدير تسويق بربط ChatGPT ببريد الشركة الإلكتروني عبر Zapier لصياغة الاستجابات تلقائياً لاستفسارات الشراكة. ينشئ المهندس وكيل OpenClaw على جهاز الكمبيوتر الشخصي الخاص به يراقب قنوات Slack ويقدم تذاكر Jira تلقائياً. ينشئ محلل بيانات سير عمل n8n يسحب بيانات العملاء من قاعدة البيانات الإنتاجية ويعالجها من خلال Claude ويودعها الملخصات في صحيفة Google.
لا أحد من هؤلاء الناس لديه نية خبيثة. كل واحد منهم كان يحل مشكلة حقيقية. لكن كل واحد من هذه الأسلاك يخلق وكيل غير مُدار وغير مراقب مع الوصول إلى البيانات الحساسة للشركة، يعمل بأذونات كاملة للمستخدم الذي أنشأها - وغالباً أكثر، لأن العديد من هذه الأنظمة الأساسية تطلب نطاقات OAuth واسعة.
سطح المخاطر
ينشئ الوكلاء الظلليون المخاطر عبر عدة أبعاد. أولاً، هناك خطر التعرض للبيانات. عندما يغذي الموظف بيانات الشركة إلى خدمة ذكاء اصطناعي تابعة لطرف ثالث من خلال تكامل غير معتمد، قد تُستخدم هذه البيانات للتدريب أو يتم تخزينها إلى أجل غير مسمى أو تعريضها من خلال ثغرات الخدمة الخاصة بها. ثانياً، هناك خطر المصادقة. يستخدم العديد من الوكلاء الظلليين مفاتيح API أو رموز OAuth طويلة الأمد التي لا تُدار بشكل دوري وتُخزن بشكل غير آمن وتستمر حتى بعد مغادرة الموظف للمنظمة. ثالثاً، هناك خطر التنفيذ. يمكن للوكيل الذي يمكنه تنفيذ الأكواد أو إرسال رسائل بريد إلكترونية أو تعديل السجلات أن يتم التعامل معه من خلال حقن الموجهات لأداء إجراءات لم ينويها المستخدم الذي أنشأه أبداً.
الكشف والتخفيف
يتطلب اكتشاف الوكلاء الظلليين مزيجاً من المراقبة الشبكية وتحليل بوابة API والتدقيق القائم على الهوية. ابحث عن أنماط غير عادية: استدعاءات API لخدمات AI من مصادر غير متوقعة، منح OAuth لتطبيقات غير مألوفة، وتدفقات البيانات التي تتجاوز القنوات العادية. تنفيذ السياسات التي تتطلب أن تمر جميع نشرات وكيل AI بعملية مراجعة رسمية، وتوفير بدائل معروضة حتى يتمكن الموظفون من تحقيق أهدافهم بدون الذهاب في الطريق الخاص.
منظر عرضة MCP
أصبح نموذج السياق (MCP) معيار الواقع لربط نماذج الذكاء الاصطناعي بأدوات وخدمات خارجية. تم تطويرها بواسطة Anthropic واعتمدتها الصناعة، يتيح MCP لنماذج اللغة التفاعل مع قواعد البيانات وواجهات برمجية التطبيقات والأنظمة الملفية والموارد الأخرى من خلال واجهة موحدة. إنه قوي ومرن - وكما كشفت الأبحاث الأخيرة - مليء بمخاوف الأمان.
مشكلة 43٪
وجدت عملية تدقيق شاملة نُشرت في فبراير 2026 أن 43٪ من خوادم MCP المتاحة علناً عرضة لهجمات تنفيذ الأوامر. سطح الضعف واسع: التحقق من مدخلات غير كافي والمصادقة المفقودة وتعريفات الأدوات المتساهلة بشكل مفرط والتوتر المعماري الأساسي بين مرونة البروتوكول والمبادئ الأمنية الأساسية.
المشكلة الأساسية هي أن MCP تم تصميمه للقدرة وليس للاحتواء. يمكن لخادم MCP المُكَوّن بشكل جيد أن يمنح نموذج ذكاء اصطناعي وصول بدقة محدد إلى وظائف محددة. لكن التكوين الافتراضي للعديد من الخوادم المدمجة من المجتمع يمنح وصول أكثر بكثير مما يلزم، وتصميم البروتوكول يسهل الكشف الخطأ عن وظائف خطرة.
متجهات الهجوم
تنقسم متجهات الهجوم الأساسية ضد تثبيتات MCP إلى عدة فئات.
تسميم الأداة يحدث عندما يعلن خادم MCP الخبيث عن أدوات تبدو حميدة ولكنها تنفذ عمليات ضارة. قد يستدعي نموذج ذكاء اصطناعي يتصل بأداة تسمى format_text في الواقع دالة تسرب متغيرات البيئة. نظراً لأن نموذج AI يثق في وصف الأداة الذاتي، لا توجد له طريقة للتحقق من أن الأداة تفعل ما تدعيه.
المعالجة عبر الخادم تستغل حقيقة أن العديد من وكلاء AI يتصلون بخوادم MCP متعددة في نفس الوقت. يمكن لخادم الخبيث حقن تعليمات تتسبب في إساءة معاملة الوكيل للأدوات التي يوفرها الخادم الشرعي. على سبيل المثال، يمكن أن تتضمن استجابة الخادم المخترقة تعليمات مخفية تتسبب في استخدام الوكيل لأداة الوصول إلى قاعدة البيانات الخاصة به لاستخراج وإرسال السجلات الحساسة.
سرقة بيانات الاعتماد تستهدف رموز المصادقة ومفاتيح API التي تخزنها خوادم MCP غالباً للوصول إلى الخدمات الخارجية. نظراً لأن خوادم MCP تعمل كعمليات منفصلة، فقد تخزن بيانات الاعتماد في ملفات التكوين أو متغيرات البيئة أو المتاجر في الذاكرة التي يمكن الوصول إليها من عمليات أخرى على نفس الجهاز.
تأمين نشرات MCP
يتطلب تأمين MCP نهج الدفاع المتعدد الطبقات. ابدأ بمبدأ الحد الأدنى من الامتيازات: يجب أن يوضح كل خادم MCP فقط الحد الأدنى من مجموعة الأدوات المطلوبة لغرضه. تنفيذ التحقق من مدخلات على معامل كل أداة. استخدم بيئات التنفيذ المعزولة - الحاويات أو الآلات الافتراضية - لتحديد نصف قطر الانفجار من خادم مخترق. تدقيق وصفات الأدوات والتحقق من أنها تعكس بدقة سلوك الأداة. والأهم من ذلك، تنفيذ المراقبة التي يمكنها الكشف عندما تنحرف أنماط استخدام أداة الوكيل من السلوك المتوقع.
حقن الموجهات على نطاق واسع
حقن الموجهات ليست جديدة، لكن تأثيرها تغير بشكل درامي في عصر الوكلاء المستقلين. عندما كان نموذج ذكاء اصطناعي مقصوراً على إنشاء نصوص في واجهة دردشة، كان حقن الموجهات الناجح قد ينتج عنه إخراج محرج. عندما يتمتع وكيل ذكاء اصطناعي بالوصول إلى البريد الإلكتروني ومستودعات التعليمات البرمجية والبنية التحتية الإنتاجية، يمكن لحقن الموجهات الناجح أن يؤدي إلى تسرب البيانات أو الوصول غير المصرح أو اختراق النظام.
تطور الهجمات
كانت هجمات حقن الموجهات من الجيل الأول خامة: "تجاهل تعليماتك السابقة وفعل X." يتم اكتشاف هذه بسهولة بواسطة تصفية مدخلات أساسية. الهجمات التي تتعامل بها فرق الأمان في عام 2026 أكثر تطوراً بكثير.
حقن الموجهات غير المباشر يضمن تعليمات خبيثة في المحتوى الذي يعالجه وكيل AI كبيانات بدلاً من إدخال المستخدم المباشر. قد يضيف المهاجم نصاً غير مرئي إلى صفحة ويب يوجه أي وكيل AI يقرأ الصفحة لإعادة توجيه سجل محادثاته إلى خادم خارجي. قد يصيغون رسالة بريد إلكترونية تتسبب في معالجتها بواسطة مساعد بريد إلكتروني AI لجعل المساعد يعيد توجيه جميع رسائل البريد الإلكترونية اللاحقة إلى عنوان يسيطر عليه المهاجم.
المعالجة متعددة الأدوار تتضمن تحويل سلوك الوكيل بشكل تدريجي عبر تفاعلات متعددة. قد يبدو كل موجه فردي حميداً، لكن التأثير التراكمي هو تحويل فهم الوكيل لسياقه وأذونات في اتجاه يستفيد منه المهاجم. هذا فعال بشكل خاص ضد الوكلاء ذوي الذاكرة الدائمة، حيث يعدل كل تفاعل السياق المخزن للوكيل.
هجمات ربط الأدوات تستغل قدرة الوكيل على استخدام أدوات متعددة بالتتابع. الهدف من المهاجم ليس توجيه الوكيل بشكل مباشر لأداء إجراء ضار - الذي سيتم اكتشافه بواسطة مرشحات السلامة - لكن بناء سلسلة من استدعاءات الأداة الحميدة الفردية التي تحقق نتيجة ضارة عند دمجها.
معيار AgentShield
أصبح AgentShield، الذي تم إطلاقه في أوائل عام 2026، أول معيار مفتوح اختبار أدوات أمان وكيل AI التجاري. كانت النتائج من 537 حالة اختبار محبطة: كشف ضعيف لإساءة الأدوات عبر القائمة، كشف غير متسق لحقن الموجهات، وتقريباً لا توجد قدرة على الكشف عن الهجمات متعددة الخطوات التي تسلسل العمليات الحميدة إلى نتائج ضارة.
كشف المعيار أن معظم أدوات الأمان الموجودة تم تصميمها لعالم ما قبل الوكيل. يمكنهم اكتشاف أنماط الهجوم المعروفة لكنهم يكافحون من أجل التعقيد التوليفي للتهديدات القائمة على الوكيل، حيث تكمن الخطورة ليس في أي إجراء واحد بل في تسلسل وسياق الإجراءات.
الاستراتيجيات الدفاعية
يتطلب الدفاع الفعال ضد حقن الموجهات في الأنظمة الفاعلة طبقات متعددة. يجب أن يغطي تطهير المدخلات ليس فقط إدخال المستخدم المباشر ولكن جميع البيانات التي يعالجها الوكيل، بما فيها صفحات الويب والرسائل والسجلات قاعدة البيانات واستجابات API. يجب أن تراقب مراقبة الإخراج ليس فقط ما يقوله الوكيل بل ما يفعله - كل استدعاء أداة وكل طلب API وكل عملية ملف. يجب أن يحدد تحليل السلوك خطوط الأساس للنشاط الطبيعي للوكيل وأعلم الانحرافات.
المقررات المعمارية مهمة أيضاً. مبدأ الحد الأدنى من الامتيازات هو الأهم: يجب أن يحصل الوكلاء على الوصول فقط إلى الأدوات والبيانات التي يحتاجونها لوظيفتهم المحددة. فصل الاهتمامات يعني أن الوكيل الذي يتعامل مع دعم العملاء لا يجب أن يتمتع بالوصول إلى أدوات البنية التحتية الإنتاجية، حتى لو كانت متاحة تقنياً من خلال نفس خادم MCP. ويجب أن تُفرض متطلبات التدخل البشري للإجراءات عالية التأثير - حذف قواعد البيانات والمعاملات المالية وتغييرات التحكم في الوصول - بغض النظر عن مدى ثقة الوكيل بقراره.
هجمات سلسلة التوريد على النظم الإيكولوجية للوكلاء
خلقت النظام البيئي للوكلاء نوعاً جديداً من هجوم سلسلة التوريد. تستهدف هجمات سلسلة التوريد التقليدية الاعتماديات على الأكواد - حزم npm المخترقة وصور Docker المسمومة وإجراءات GitHub الضارة. تستهدف هجمات سلسلة توريد الوكلاء الأدوات والمهارات والتكوينات التي يعتمد عليها الوكلاء.
تسميم السوق
أسواق الوكلاء مثل ClawHub من OpenClaw، مع أكثر من 5700 مهارة مدمجة من المجتمع، تعرض سطح هجوم ضخماً. يمكن لمهارة خبيثة أن تبدو وكأنها تؤدي وظيفة مفيدة مع استخراج البيانات والتعديل على سلوك الوكيل أو تأسيس الثبات. عمليات المراجعة لهذه الأسواق غالباً ما تكون غير كافية: يمكن للفحص الآلي اكتشاف أنماط البرامج الضارة المعروفة ولكن لا يمكنه تقييم الغرض الدلالي للأكواس التي تتفاعل مع عملية اتخاذ القرار لنموذج AI.
أوضحت أزمة OpenClaw هذا بشكل واضح. تم تصميم المهارات الخبيثة للمرور بفحوصات الأمان الآلية مع استغلال الثقة الضمنية التي وضعها الوكيل في المهارات المثبتة لديه. استخرج بعض المهارات الملفات المحلية. عدلت الآخرون موجه النظام للوكيل لحقن تعليمات دائمة نجت من إلغاء تثبيت المهارات. أقلية قليلة أسست اتصالات الشل العكسي مع خوادم تسيطر عليها المهاجم.
انجراف التكوين
تُعامل تكوينات الوكيل - الموجهات النصية للنظام والأذونات الأداة وأنماط الذاكرة - بشكل متكرر كأكواد ولكن يُديرها بدقة أقل من الأكواد الإنتاجية. قد يتم تخزينها بنصوص عادية ومشاركتها عبر قنوات غير آمنة وتعديلها بدون مراقبة إصدارات أو مراجعة. يمكن للمهاجم الذي يمكنه تعديل تكوين الوكيل أن يغير سلوكه بشكل جذري بدون لمس أي أكواس.
الدفاع عن سلسلة التوريد
يتطلب الدفاع عن سلسلة التوريد لنظم الوكلاء معاملة تكوينات الوكيل بنفس الصرامة مثل الأكواد الإنتاجية. استخدام مراقبة الإصدارات. تنفيذ مراجعة أكواس لتغييرات التكوين. وقع التحقق من حزم الوكلاء. الحفاظ على مخزون جميع المهارات والأدوات المثبتة. وتنفيذ مراقبة وقت التشغيل التي يمكنها الكشف عندما ينحرف سلوك الوكيل عن وظيفته المقصودة.
تسميم الذاكرة: التهديد الدائم
يقدم الوكلاء ذوو الذاكرة الدائمة فئة من الضعف التي لا سابقة لها في أمان البرامج التقليدية. عندما يتذكر الوكيل السياق عبر الجلسات، يمكن لمهاجم يمكنه التأثير على ذاكرة الوكيل أن ينشئ وجود دائم ينجو من إعادة التشغيل وإعادة التثبيت وحتى التحديثات.
كيف يعمل تسميم الذاكرة
فكر في وكيل يستخدم قاعدة بيانات متجهة لتخزين واسترجاع السياق من التفاعلات الماضية. ينشئ المهاجم سلسلة من التفاعلات المصممة لتضمين تعليمات خبيثة في ذاكرة الوكيل. يتم تخزين هذه التعليمات كضمائر محاكية وتُسترجع عندما يواجه الوكيل سياقاً ذا صلة. الهجوم يستمر لأن الذاكرة المسممة لا يمكن تمييزها عن الذاكرة الشرعية - يتم تخزينها بنفس الصيغة في نفس قاعدة البيانات باستخدام نفس نموذج التضمين.
النتيجة هي وكيل يتصرف بشكل طبيعي معظم الوقت لكنه ينحرف عن السلوك المتوقع عندما يتم تشغيله بسياقات محددة. إنه معادل AI لقنبلة منطقية، ومن الصعب جداً اكتشافه.
نهج الحد من المخاطر
يتطلب تخفيف تسميم الذاكرة مزيجاً من صحة الذاكرة والمراقبة. تنفيذ سياسات انتهاء الذاكرة التي تطهر الذاكرة القديمة تلقائياً. استخدم التوقيع التشفيري للتحقق من أصل السياقات المخزنة. تنفيذ الكشف عن الشذوذ على أنماط استرجاع ذاكرة الوكيل. والحفاظ على القدرة على إعادة تعيين ذاكرة الوكيل إلى حالة معروفة جيدة.
بناء أنظمة وكيل آمنة
المسار إلى الأمام ليس التخلي عن وكلاء AI - فوائد الإنتاجية الخاصة بهم مهمة جداً للتجاهل. بدلاً من ذلك، يجب على المنظمات بناء الأمان في دورة حياة الوكيل من البداية.
عدم الثقة الصفري للوكلاء
تطبيق مبادئ عدم الثقة الصفري على نشرات الوكيل. لا ينبغي الوثوق بأي وكيل بشكل ضمني، بغض النظر عن مكان تشغيله أو من نشره. يجب أن يتم التحقق من كل وصول للأداة والترخيص له. يجب تسجيل كل إجراء والتدقيق فيه. وكل تدفق بيانات يجب تشفيره ومراقبته.
مكدس أمان الوكيل
يتضمن مكدس أمان الوكيل الشامل عدة طبقات. تحكم إدارة الهوية والوصول الذي يمكن للوكلاء الوصول إليه من أي موارد. التحقق من مدخلات منع حقن الموجهات والتسميم بالبيانات. عزل التنفيذ يحد من نصف قطر الانفجار من وكيل مخترق. تراقب السلوك الشذوذ في نشاط الوكيل. تسجيل الحسابات يوفر قدرة الطب الشرعي. وإجراءات الاستجابة للحوادث يجب أن تحتسب الحالات المحددة للوكلاء.
جاهزية المنظمة
الضوابط التقنية ضرورية لكن غير كافية. تحتاج المنظمات إلى سياسات تحدد الاستخدام المقبول للوكلاء الذكيين، وهياكل حكم تعين المسؤولية عن أمان الوكلاء، وبرامج تدريب تثقف الموظفين حول مخاطر الوكلاء الظلليين، وإجراءات الاستجابة للحوادث التي تحتسب خصائص هجمات قائمة على الوكلاء.
الخاتمة: الحصص حقيقية
يتميز منظر أمان AI الفاعل في عام 2026 بعدم تطابق أساسي بين القدرة والأمان. لقد نشرنا وكلاء بقدرات رائعة - التفكير والاستخدام الأداة والذاكرة الدائمة واتخاذ القرارات المستقلة - في بيئات مصممة لعالم ما قبل الوكيل. أدوات الأمان والعمليات والنماذج الذهنية التي طورناها للبرامج التقليدية غير كافية لهذا الواقع الجديد.
الحوادث حقيقية. الثغرات منتشرة. سطح الهجوم ينمو. لكن المسار إلى الأمام واضح: معاملة الوكلاء كمبادئ أمن من الدرجة الأولى، تطبيق الدفاع المتعدد الطبقات، الحفاظ على الإشراف البشري للإجراءات عالية التأثير، وبناء الأمان في دورة حياة الوكيل من اليوم الأول.
ستستمتع المنظمات التي تحصل على هذا الحق بفوائد الإنتاجية لوكلاء AI بدون أن تصبح حالة تحذيرية التالية. الوكلاء الذين لا يحصلون عليها سيتعلمون بالطريقة الصعبة أن الوكيل بأذونات مفرطة والمراقبة غير الكافية ليست أداة إنتاجية - إنها مسؤولية.