اكتشف باحثون في مجال الأمن السيبراني ثغرة أمنية بالغة الخطورة في بيئة التطوير المتكاملة Antigravity IDE التابعة لجوجل، كانت تسمح بتنفيذ تعليمات برمجية عبر هجوم يعرف بـ Prompt Injection. هذه الثغرة، التي جرى إصلاحها مؤخرًا، تكشف عن هشاشة البنية الأمنية في أدوات الذكاء الاصطناعي الموجهة للمطورين، وتعيد طرح أسئلة جوهرية حول مستقبل أمن البرمجيات في عصر الأتمتة.
تفاصيل الثغرة وآلية الاستغلال
الثغرة نتجت عن تفاعل بين خاصية إنشاء الملفات المسموح بها في Antigravity وأداة البحث المدمجة find_by_name، التي لم تكن تتحقق بشكل صارم من مدخلات المستخدم. هذا الخلل أتاح للمهاجمين تمرير العلم -X (exec-batch) عبر معامل البحث، مما أجبر الأداة على تنفيذ ملفات ثنائية بشكل مباشر داخل بيئة العمل. وبذلك يمكن للمهاجم إنشاء ملف خبيث ثم تشغيله عبر بحث يبدو شرعيًا، دون أي تدخل إضافي من المستخدم بعد نجاح الحقن الأولي.
الباحث الأمني دان ليسيتشكين من شركة Pillar Security أوضح أن هذه الثغرة تسمح بسلسلة هجوم كاملة تبدأ بزرع سكربت خبيث وتنتهي بتنفيذه داخل بيئة التطوير، متجاوزةً قيود Strict Mode التي يفترض بها منع الوصول للشبكة أو الكتابة خارج مساحة العمل.
خلفيات أمنية وسياق أوسع
الهجوم يستغل حقيقة أن استدعاء أداة find_by_name يتم قبل تطبيق قيود الوضع الصارم، ما يجعلها منفذًا مباشرًا لتنفيذ أوامر غير مصرح بها. هذا النوع من الثغرات يبرز مشكلة جوهرية في أدوات الذكاء الاصطناعي: فهي تتعامل مع المدخلات وكأنها أوامر موثوقة، بينما يمكن استغلالها بسهولة عبر بيانات غير آمنة أو ملفات مستوردة من مصادر مجهولة.
جوجل استجابت بسرعة بعد الإبلاغ المسؤول عن الثغرة في يناير 2026، وأصدرت تحديثًا أمنيًا في فبراير من نفس العام. لكن القضية تكشف عن تحدٍ أكبر: كيف يمكن ضمان أن الوكلاء الذكيين لن ينفذوا تعليمات خبيثة مخفية في محتوى يبدو عاديًا؟
موجة من الثغرات في أدوات الذكاء الاصطناعي
الثغرة في Antigravity ليست حالة معزولة. فقد تم الكشف مؤخرًا عن سلسلة من الثغرات في أدوات أخرى مثل Claude Code وGitHub Copilot Agent وCursor IDE، جميعها مرتبطة بهجمات حقن الأوامر عبر تعليقات أو ملفات غير موثوقة. هذه الهجمات تحمل أسماء مثل Comment and Control وNomShub وToolJack، وكلها تستغل قدرة الوكلاء الذكيين على تنفيذ تعليمات دون تحقق بشري.
على سبيل المثال، ثغرة في Claude Code سمحت بتسميم ذاكرة الوكيل والحفاظ على الاستمرارية حتى بعد إعادة تشغيل النظام، بينما ثغرة في Cursor IDE أتاحت وصولًا دائمًا وغير مرئي إلى جهاز المطور بمجرد فتح مستودع خبيث. أما هجوم ToolJack فقد أظهر كيف يمكن لمهاجم محلي التلاعب بإدراك الوكيل لبيئته، مما يؤدي إلى نتائج مزيفة في البيانات والتحليلات.
دلالات استراتيجية على مستقبل الأمن السيبراني
هذه الاكتشافات تؤكد أن أدوات الذكاء الاصطناعي ليست مجرد مساعدات برمجية، بل أصبحت جزءًا من سلسلة التوريد البرمجية نفسها، ما يجعلها أهدافًا رئيسية للهجمات. الباحثون يحذرون من أن نموذج الثقة التقليدي، الذي يفترض أن البشر قادرون على كشف الأنشطة المشبوهة، لم يعد صالحًا عندما تتعامل الأنظمة الذكية مع البيانات بشكل آلي ودون مراجعة بشرية.
إن ما حدث مع Antigravity يعكس اتجاهًا متناميًا: كلما زادت صلاحيات الوكلاء الذكيين، زادت فرص استغلالهم عبر مدخلات غير آمنة. وهذا يفرض على الشركات والمطورين إعادة التفكير في تصميم هذه الأدوات، ووضع آليات تحقق صارمة تمنع تمرير الأوامر الخبيثة، حتى لو بدت في ظاهرها مجرد عمليات بحث أو تعليمات عادية.
