في قمة Gartner للأمن وإدارة المخاطر هذا الشهر، تم تسليط الضوء على ثغرة خطيرة لا تزال معظم برامج الأمن تتجاهلها: كيف يستغل المهاجمون البنية التحتية القديمة لاختطاف وكلاء الذكاء الاصطناعي، دون الحاجة إلى مهاجمة طبقة الذكاء الاصطناعي نفسها.
تشير الإحصاءات إلى أن 71% من المؤسسات بدأت بالفعل في تجارب تشغيل وكلاء الذكاء الاصطناعي عبر تطبيقاتها، بينما نقلت 31% هذه الوكلاء إلى بيئات الإنتاج. ومع هذا التوسع السريع، يتركز الاهتمام على حماية النماذج من التسميم، وحقن الأوامر، وتسرب البيانات، لكن يتم إغفال ما تحت هذه الطبقة: الخوادم غير المحدثة، صلاحيات Active Directory غير المضبوطة، أو بيانات اعتماد مخزنة على أجهزة المطورين.
وكلاء الذكاء الاصطناعي يرثون ديون البنية التحتية
رغم حداثة هذه الوكلاء، إلا أنها تعتمد على نفس البنية التحتية التقليدية: مزوّدات الهوية، تخزين البيانات في سحابات مثل S3، تنفيذ المهام عبر Lambda، وصلاحيات IAM. المشكلة أن هذه الاعتمادات تحمل معها كل الديون الأمنية القديمة. والأسوأ أن المؤسسات تمنح الوكلاء صلاحيات أوسع من البشر؛ إذ أظهرت دراسة أن 70% من المؤسسات تمنح وكلاء الذكاء صلاحيات مفرطة، ما أدى إلى معدل حوادث بلغ 76% مقارنة بـ17% فقط عند تطبيق مبدأ “أقل الصلاحيات”.
كيف تتحول ثغرة قديمة إلى اختراق لوكيل حديث
لنأخذ مثالًا عمليًا:
- المرحلة الأولى: فريق خدمة العملاء يصدر بيانات من Salesforce إلى S3 لتغذية وكيل الذكاء الاصطناعي. خطأ في الصلاحيات يمنح مطورًا وصولًا غير ضروري إلى بيانات الإنتاج.
- المرحلة الثانية: خادم خارجي يعمل بـ Apache Tomcat غير محدث، معرض لثغرة CVE-2025-24813 التي تسمح بتنفيذ أوامر عن بُعد. المهاجم يستغلها للحصول على بيانات اعتماد مخزنة.
- المرحلة الثالثة: عبر خطأ في إعدادات Active Directory، يتمكن المهاجم من انتحال شخصية المطور والوصول إلى جهازه، حيث تُخزن مفاتيح AWS.
عند ربط هذه المراحل، يصبح المهاجم قادرًا على قراءة كل بيانات S3 التي تغذي الوكيل، وبالتالي السيطرة على ما يقدمه للمستخدمين. لم يتم مهاجمة الوكيل مباشرة، بل استُغلت البنية التحتية القديمة لتسخير صلاحياته.
ما الذي يجب فعله؟
الحل يبدأ من إدارة التعرض الأمني بشكل شامل، بحيث تُعامل اعتمادات وكلاء الذكاء الاصطناعي (قواعد المعرفة، التخزين السحابي، وظائف Lambda) كأصول حرجة. ثم يتم رسم خريطة عكسية للعلاقات والصلاحيات والبنية التحتية المرتبطة بها، لتحديد نقاط الاختناق التي يمكن إصلاحها لمنع سلسلة الهجوم.
الأدوات الأمنية التقليدية قد ترصد كل ثغرة على حدة: أداة EASM تكشف الخادم غير المحدث، أداة AD تكشف خطأ التفويض، وأداة CSPM ترصد صلاحيات S3 المفرطة. لكن عند جمعها، تتحول إلى مسار اختراق كامل. لذلك، المطلوب هو رؤية شاملة تربط بين الشبكة والهوية والسحابة والذكاء الاصطناعي.
الخلاصة العملية
مع تسارع تبني وكلاء الذكاء الاصطناعي، فإن كل وكيل جديد يضيف طبقة جديدة من المخاطر إذا كان يعتمد على بنية تحتية قديمة غير مؤمنة. المهاجمون لا يحتاجون تقنيات جديدة لاختراق الذكاء الاصطناعي؛ بل يكفيهم استغلال الثغرات القديمة للوصول إلى الأصول الحديثة.



























