لا تزال تشتري محطة تحويل الذكاء الاصطناعي على توباو؟ مصدر تسريب شفرة Claude Code: تم تسميم العشرات على الأقل

كشف أحدث دراسة عن تسريب رمز مصدر كود كلاود، أنشأت من قبل مخبر، يكشف أن محطات التحويل في الذكاء الاصطناعي المتوفرة في السوق تخفي مخاطر أمنية. أظهرت الاختبارات أن بعض هذه المحطات تسرق الشهادات، المفاتيح الخاصة للمحافظ أو تInject برمجيات خبيثة، مما يجعلها نقاط هجوم على سلسلة التوريد.

مخبر تسريب رمز مصدر كود كلاود، يكشف عن مخاطر أمنية لمحطات التحويل في الذكاء الاصطناعي

نشرت مؤخرًا ورقة بحثية بعنوان «وكيلك هو لي» (Your Agent Is Mine)، أحد مؤلفيها هو المخبر الذي كشف سابقًا عن حادثة تسريب رمز مصدر كود كلاود، تشوفان شو.

هذه الورقة البحثية أول مرة تدرس بشكل منهجي التهديدات الأمنية لموجهات واجهات برمجة التطبيقات (API) الخاصة بالنماذج اللغوية الكبيرة (LLM)، والمعروفة باسم محطات التحويل، وتكشف أن هذه المحطات قد تصبح نقاط هجوم على سلسلة التوريد.

ما هو محطة التحويل في الذكاء الاصطناعي؟

نظرًا لأن استدعاء نماذج اللغة الكبيرة يستهلك عددًا كبيرًا من الرموز (Tokens)، ويؤدي إلى تكاليف حساب عالية، فإن محطات التحويل تساعد العملاء بشكل كبير على توفير التكاليف من خلال التخزين المؤقت للأسئلة المتكررة وشرح الخلفية.

وفي الوقت نفسه، تمتلك المحطات وظيفة توزيع نماذج تلقائية، حيث يمكنها وفقًا لصعوبة سؤال المستخدم، التبديل ديناميكيًا بين نماذج ذات معايير تسعير وأداء مختلفة، كما يمكنها التبديل تلقائيًا إلى نموذج احتياطي عند انقطاع الاتصال بالخادم الرئيسي، لضمان استقرار الخدمة بشكل عام.

محطات التحويل في الصين تحظى بشعبية خاصة، لأن البلاد لا يمكنها استخدام منتجات الذكاء الاصطناعي الخارجية مباشرة، بالإضافة إلى حاجة الشركات إلى التوطين في الفوترة، مما يجعل المحطات جسرًا مهمًا بين النماذج العليا والمطورين من الطرف الآخر. تشمل منصات مثل OpenRouter و SiliconFlow، وتندرج ضمن خدمات هذا النوع.

ومع ذلك، فإن محطات التحويل التي تبدو منخفضة التكاليف وسهلة الاستخدام، تخفي وراءها مخاطر أمنية هائلة.

مصدر الصورة: الورقة البحثية تكشف عن مخاطر هجمات سلسلة التوريد على محطات التحويل في الذكاء الاصطناعي

محطات التحويل في الذكاء الاصطناعي تمتلك صلاحيات كاملة، وتصبح ثغرة في سلسلة التوريد

تشير الورقة إلى أن محطة التحويل تعمل على طبقة التطبيق في بنية الشبكة، وتملك صلاحية كاملة لقراءة البيانات النصية الواردة بصيغة JSON خلال عملية النقل.

نظرًا لغياب التحقق من تكامل التشفير من طرف إلى طرف بين العميل ومزود النموذج، يمكن لمحطة التحويل بسهولة فحص وتعديل مفاتيح API، أوامر النظام، ومعلمات إخراج النموذج، مما يعرض النظام لمخاطر الاختراق.

وأشارت الدراسة إلى أن في مارس 2026، تعرض موجه الروتر المفتوح المصدر LiteLLM، الذي يعتمد على الاعتمادية، لهجوم تشويش الاعتمادية، مما سمح للمهاجمين بحقن برمجيات خبيثة في مسار الطلبات، مما يبرز ضعف هذا الجزء.

• **تقرير ذات صلة: ملخص هجوم LiteLLM: كيف تتحقق من صحة المحافظ المشفرة والمفاتيح السحابية؟

اختبارات مئات من محطات التحويل أظهرت سلوكًا خبيثًا

قام فريق البحث بشراء 28 محطة تحويل مدفوعة من منصات مثل تاوباو (Taobao)، شيانيو (Xianyu)، وشوبفاي (Shopify)، وجمع 400 محطة مجانية من مجتمعات عامة لإجراء اختبارات معمقة، ونتائج الاختبار أظهرت أن 1 من المحطات المدفوعة و8 من المجانية تInject برمجيات خبيثة بشكل نشط.

وفي عينات المحطات المجانية، حاول 17 منها استخدام شهادات AWS التي أنشأها الباحثون، وواحد منها سرق عملة مشفرة من محفظة إيثريوم الخاصة بهم.

وأظهرت البيانات أن مجرد إعادة استخدام الشهادات المسربة من طرف إلى طرف، أو توجيه المرور إلى نقاط ضعف أمنية، يمكن أن يجعل المحطات التي تبدو طبيعية عرضة لنفس الهجمات.

وفي اختبار التسمم، وجد الفريق أن هذه النقاط المعرضة للهجوم تعاملت مع أكثر من 2.1 مليار رمز Token، وكشفت عن 99 شهادة حقيقية في 440 جلسة، منها 401 جلسة كانت تعمل بشكل مستقل تمامًا، مما يتيح للمهاجمين حقن حمولة خبيثة بسهولة ودون الحاجة إلى شروط معقدة.

مصدر الصورة: الورقة البحثية أظهرت أن أكثر من 400 محطة تحويل تم اختبارها، ووجدت أن العديد منها يتصرف بشكل خبيث

أربعة أساليب هجوم رئيسية مكشوفة

تلخص الورقة أن سلوك الهجوم من قبل محطات التحويل الخبيثة ينقسم إلى فئتين رئيسيتين ونوعين من التهرب التكيفي.

• هجمات حقن الحمولة: بعد أن يعيد النموذج في الطرف العلوي النتائج، تقوم محطة التحويل بسرقة أو تعديل معلمات استدعاء الأدوات، مثل استبدال عنوان URL الشرعي بخادم يسيطر عليه المهاجم، مما يؤدي إلى تنفيذ برمجيات خبيثة على العميل.
• هجمات تسريب المعلومات: تقوم المحطة بالتنصت على حركة المرور المارة، وتسرق مفاتيح API، وشهادات AWS، ومفاتيح إيثريوم الخاصة، وغيرها من المعلومات الحساسة.

وللتملص من أدوات الكشف الأمني التقليدية، طور المهاجمون تقنية استهداف الاعتمادية، وهي تعديل أوامر تثبيت الحزم البرمجية بحيث يتم استبدال الحزم الشرعية بأخرى خبيثة، أو نشر حزم خبيثة تحمل أسماء مشابهة أو متشابهة في السجل العام، لبناء باب خلفي دائم في النظام المستهدف.

طريقة أخرى تعتمد على الشروط، حيث يتم تفعيل السلوك الخبيث فقط عند استيفاء شروط معينة، مثل تجاوز 50 طلبًا، أو اكتشاف أن النظام يعمل بشكل مستقل (وضع YOLO)، بهدف التملص من فحوصات الأمان المحدودة.

ثلاث تدابير دفاعية ممكنة

لمواجهة هجمات سلسلة التوريد على محطات التحويل في الذكاء الاصطناعي، اقترحت الورقة ثلاث استراتيجيات دفاعية:

• تطبيق سياسات على الأدوات عالية الخطورة: من خلال فحص ومنع أوامر تثبيت النطاقات أو الحزم غير المصرح بها، يمكن لهذا النظام أن يمنع معظم هجمات حقن الحمولة بدقة تصل إلى 99%، مع معدل خطأ بنسبة 1%.
• آلية تصنيف الشذوذ على الطرف المستقبل: التي يمكنها، بمعدل خطأ 6.7%، تصنيف 89% من العينات الخبيثة، مما يساعد المطورين على إجراء مراجعة يدوية.
• سجلات الشفافية الإضافية: على الرغم من أنها لا تمنع الهجمات، إلا أنها تحفظ هاشات الطلبات والاستجابات، مما يسهل تتبع الحوادث وتقييم الأضرار عند وقوعها.

دعوة لمزودي النماذج في الطرف العلوي لإنشاء آليات تحقق تعتمد على التشفير

على الرغم من أن آليات الدفاع على طرف العميل يمكن أن تقلل من بعض المخاطر في الوقت الحالي، إلا أنها لا تحل مشكلة التحقق من هوية المصدر بشكل جذري. طالما أن التعديلات على المحطات لا تثير إنذارات أمنية، يمكن للمهاجمين بسهولة تغيير نية التنفيذ والتسبب في أضرار.

ولضمان أمان نظام الوكيل في الذكاء الاصطناعي بشكل كامل، يجب أن تعتمد الشركات المزودة للنماذج على آليات تحقق تعتمد على التشفير، بحيث يتم ربط نتائج النموذج والأوامر النهائية للتنفيذ بشكل مشفر صارم، لضمان سلامة البيانات من طرف إلى طرف، ومنع سلسلة التوريد من التلاعب بالبيانات.

قراءات إضافية:
استخدام OpenAI لـ Mixpanel تسبب في تسريب بيانات بعض المستخدمين، احذر من رسائل التصيد

خطأ في النسخ واللصق أدى إلى اختفاء 50 مليون دولار! هجمات التسميم على العناوين المشفرة، وكيفية الوقاية منها