هجوم "الكذب في الحلقة" يحول حوارات أمان الذكاء الاصطناعي إلى هجوم تنفيذ تعليمات برمجية عن بُعد

 

اكتشفت تقنية هجومية مكتشفة حديثًا عن ثغرة أمنية خطيرة في مساعدي البرمجة الذين يعتمدون على الذكاء الاصطناعي، وذلك باستغلال ميزات الأمان المدمجة في هذه المساعدات.

يُعرف هذا الهجوم باسم "الخداع في الحلقة"، ويستغل ثقة المستخدمين في مربعات حوار الموافقة المصممة لمنع تنفيذ العمليات الضارة دون إذن صريح.

تستهدف هذه الثغرة الأمنية عناصر التحكم "التدخل البشري"، التي تُشكل طبقة حماية نهائية قبل تنفيذ العمليات الحساسة. 

تطلب هذه النوافذ الحوارية من المستخدمين تأكيد الإجراءات قبل أن يُنفّذ النظام أوامر قد تكون خطيرة. مع ذلك، وجد المهاجمون طريقة لخداع المستخدمين بتزوير محتوى هذه النوافذ، ما يدفعهم إلى الموافقة على تنفيذ برمجيات خبيثة.

 هذا الأسلوب الهجومي الذي يؤثر على العديد من منصات الذكاء الاصطناعي، بما في ذلك Claude Code وMicrosoft Copilot Chat.

 تستغل هذه التقنية الثقة التي يضعها المستخدمون في آليات الموافقة هذه من خلال التلاعب بمحتوى الحوار عبر هجمات حقن المطالبات غير المباشرة، مما يسمح للمهاجمين عن بعد بحقن تعليمات ضارة في سياق النظام.

تعتمد الآلية الأساسية على حشو الحمولة الخبيثة بنصوص تبدو بريئة، مما يُخفي الأوامر الخطيرة عن الأنظار في نوافذ الطرفية.

عندما يتصفح المستخدمون ما يبدو تعليمات غير ضارة، فإنهم يوافقون دون علمهم على تنفيذ تعليمات برمجية عشوائية على أجهزتهم. 

في إحدى التجارب، نجح الهجوم في تشغيل ملف clcor.exe كإثبات للمفهوم، مع العلم أن المهاجمين قد يستغلون ذلك لنشر برامج ضارة أكثر خطورة.
 أن الهجوم يصبح بالغ الخطورة عند دمجه مع ثغرات حقن Mn.

عندما يتلاعب المهاجمون بعرض واجهة المستخدم، يمكنهم إنشاء مربعات حوار موافقة وهمية بالكامل، مما يجعل اكتشاف الهجوم شبه مستحيل للمستخدمين الذين يراجعون المطالبات. 

 آلية العدوى

تعتمد آلية العدوى في هذا الهجوم على ثلاث تقنيات رئيسية تعمل بتناغم. أولًا، يقوم المهاجمون بحقن محتوى مُوجِّه في سياق برنامج الذكاء الاصطناعي عبر مصادر خارجية مثل مستودعات البرامج أو صفحات الويب.

ثانيًا، يقوم برنامج الذكاء الاصطناعي بإنشاء حوار تفاعلي يبدو بريئًا بناءً على التعليمات المُسيئة.

 ثالثًا، يوافق المستخدمون على الحوار دون إدراكهم للمحتوى الخبيث المخفي داخل النص المحيط.

ينجح الهجوم لأن المستخدمين لا يستطيعون رؤية ما ينوي البرنامج تنفيذه فعليًا خلف واجهته الخادعة.

أقرت كل من شركتي أنثروبيك ومايكروسوفت بهذه النتائج، لكنهما صنفتاها خارج نطاق نماذج التهديدات الحالية لديهما، مشيرتين إلى أن استغلالها يتطلب اتخاذ إجراءات غير افتراضية متعددة.

مع ذلك، يؤكد الأمن أن هذا يمثل تحديًا جوهريًا في تصميم برامج الذكاء الاصطناعي: فعندما يعتمد البشر على محتوى حوار لا يمكنهم التحقق منه بشكل مستقل، يمكن للمهاجمين استغلال هذه الثقة كسلاح.

يسلط هذا الاكتشاف الضوء على أنه مع اكتساب أنظمة الذكاء الاصطناعي المزيد من الاستقلالية، فإن الضمانات الأمنية التقليدية تتطلب إعادة تصور لحماية المستخدمين من الهندسة الاجتماعية المعقدة على مستوى التفاعل بين الإنسان والذكاء الاصطناعي.