لا تزال تشتري محطة تحويل الذكاء الاصطناعي على توباو؟ منسق تسريب شفرة Claude: تم تسميم العشرات على الأقل

كشف أحدث دراسة عن تسريب رمز مصدر كود كلاود، أن نقاط التحويل في الذكاء الاصطناعي المتوفرة في السوق تخفي مخاطر أمنية. أظهرت الاختبارات أن بعض نقاط التحويل تسرق الشهادات، المفاتيح الخاصة للمحافظ أو تInject برمجيات خبيثة، مما يجعلها نقاط هجوم على سلسلة التوريد.

كاشف تسريب رمز مصدر كود كلاود، يكشف عن مخاطر أمنية في نقاط التحويل للذكاء الاصطناعي

نشرت مؤخرًا ورقة بحثية بعنوان «وكيلك هو لي» (Your Agent Is Mine)، أحد مؤلفيها هو الشاهد الذي كشف سابقًا عن حادثة تسريب رمز مصدر كلاود، تشوفان شو.

هذه الورقة البحثية أول مرة تدرس بشكل منهجي التهديدات الأمنية لموجهات واجهات برمجة التطبيقات (API) الخاصة بالنماذج اللغوية الكبيرة (LLM)، والمعروفة باسم نقاط التحويل، وتكشف أن هذه النقاط قد تصبح نقاط هجوم على سلسلة التوريد.

ما هو نقطة التحويل للذكاء الاصطناعي؟

نظرًا لأن استدعاء نماذج اللغة الكبيرة يستهلك عددًا كبيرًا من الرموز، ويؤدي إلى تكاليف حساب عالية، فإن نقاط التحويل يمكنها من خلال التخزين المؤقت تكرار شرح الخلفية للمشكلة، مما يساعد العملاء على تقليل التكاليف بشكل كبير.

وفي الوقت نفسه، تمتلك نقاط التحويل وظيفة توزيع النماذج تلقائيًا، حيث يمكنها وفقًا لصعوبة سؤال المستخدم، التبديل ديناميكيًا بين نماذج ذات معايير تسعير وأداء مختلفة، كما يمكنها التبديل تلقائيًا إلى نموذج احتياطي عند انقطاع الاتصال بالخادم الرئيسي، لضمان استقرار الخدمة بشكل عام.

نقاط التحويل في الصين تحظى بشعبية خاصة، لأن البلاد لا يمكنها استخدام منتجات الذكاء الاصطناعي الأجنبية مباشرة، ومع تزايد الطلب على التوطين في الفوترة، أصبحت نقاط التحويل جسرًا مهمًا بين النماذج العليا والمطورين السفليين. تشمل منصات مثل OpenRouter و SiliconFlow، وتندرج ضمن خدمات هذا النوع.

ومع ذلك، فإن نقاط التحويل التي تبدو منخفضة التكاليف وسهلة الاستخدام، تخفي وراءها مخاطر أمنية هائلة.

مصدر الصورة: الورقة البحثية تكشف عن مخاطر هجمات سلسلة التوريد على نقاط التحويل للذكاء الاصطناعي

نقاط التحويل للذكاء الاصطناعي تمتلك صلاحيات كاملة، وتصبح ثغرة في سلسلة التوريد

تشير الورقة إلى أن نقاط التحويل تعمل على طبقة التطبيق في بنية الشبكة، ولديها صلاحية كاملة لقراءة البيانات النصية الواضحة (JSON) أثناء النقل.

نظرًا لغياب التحقق من تكامل التشفير من طرف إلى طرف بين العميل ومزود النموذج، يمكن لنقطة التحويل بسهولة فحص وتعديل مفاتيح API، أوامر التوجيه، ومعلمات إخراج النموذج.

وذكر فريق البحث أنه في مارس 2026، تعرض موجه LiteLLM المفتوح المصدر، وهو من الموجهات المعروفة، لهجوم تداخل الاعتمادية، مما سمح للمهاجمين بحقن برمجيات خبيثة في مسار معالجة الطلبات، مما يبرز هشاشة هذا الجزء.

• تقرير ذات صلة:** ملخص هجوم LiteLLM: كيف تتحقق من صحة المحافظ المشفرة والمفاتيح السحابية؟**

اختبارات مئات نقاط التحويل أظهرت سلوكًا خبيثًا

قام فريق البحث بشراء 28 نقطة تحويل مدفوعة من منصات مثل توباو (Taobao)، شيانيو (Xianyu)، وشوبفاي (Shopify)، وجمع 400 نقطة تحويل مجانية من مجتمعات عامة لإجراء اختبارات معمقة، ونتائج الاختبار أظهرت أن 1 من نقاط التحويل المدفوعة و8 من نقاط التحويل المجانية تInject برمجيات خبيثة بشكل نشط.

وفي عينات نقاط التحويل المجانية، حاول 17 منها استخدام شهادات AWS التي أنشأها الباحثون، وواحد منها سرق عملة مشفرة من محفظة إيثريوم الخاصة بهم.

وأظهرت البيانات أن مجرد إعادة استخدام الشهادات المسربة من طرف إلى طرف، أو توجيه المرور إلى عقد أضعف من حيث الأمان، يمكن أن يجعل حتى النقاط التي تبدو طبيعية عرضة للهجمات ذاتها.

وفي اختبار التسمم، وجد الفريق أن هذه العقد المتضررة تعاملت مع أكثر من 2.1 مليار رمز Token، وكشفت عن 99 شهادة حقيقية في 440 جلسة، منها 401 جلسة كانت تعمل بشكل مستقل تمامًا، مما يتيح للمهاجمين حقن حمولة خبيثة بسهولة ودون شروط معقدة.

مصدر الصورة: الورقة البحثية اختبارات على أكثر من 400 نقطة تحويل، ونتائجها تظهر أن عشرات نقاط التحويل للذكاء الاصطناعي تظهر سلوكًا خبيثًا

أربعة أساليب هجوم رئيسية مكشوفة

تلخص الورقة أن سلوك الهجمات من قبل نقاط التحويل الخبيثة ينقسم إلى فئتين رئيسيتين واثنين من أنواع التهرب التكيفية.

• هجمات حقن الحمولة: بعد أن يعيد النموذج في الطرف العلوي النتائج، تقوم نقطة التحويل بسرقة وتعديل معلمات استدعاء الأدوات، مثل استبدال عنوان URL شرعي بخادم يسيطر عليه المهاجم، مما يؤدي إلى تنفيذ برمجيات خبيثة على العميل.
• هجمات تسريب المعلومات: تقوم نقطة التحويل بمراقبة حركة البيانات المارة بشكل سلبي، وتسرق مفاتيح API، شهادات AWS، أو المفاتيح الخاصة بالإيثريوم وغيرها من المعلومات الحساسة.

وللتملص من أدوات الكشف الأمني التقليدية، طور المهاجمون تقنية استهداف الاعتمادية، وهي تعديل أوامر تثبيت الحزم البرمجية بحيث يتم استبدال الحزم الشرعية بأخرى خبيثة، أو ذات اسم مشابه، منشورة على السجلات العامة، لبناء باب خلفي دائم في النظام المستهدف.

طريقة أخرى تعتمد على شروط محددة، حيث يتم تفعيل السلوك الخبيث فقط عند استيفاء شروط معينة، مثل تجاوز عدد الطلبات 50، أو اكتشاف أن النظام يعمل بشكل مستقل (وضع YOLO)، مما يساعد على التهرب من الاختبارات الأمنية المحدودة.

ثلاث تدابير دفاعية ممكنة

لمواجهة هجمات سلسلة التوريد المتمثلة في تسميم أدوات الذكاء الاصطناعي، اقترحت الورقة ثلاث استراتيجيات دفاعية:

• تطبيق سياسات على الأدوات عالية الخطورة: عبر فحص ومنع أوامر تثبيت النطاقات أو الحزم غير المصرح بها، مع معدل خطأ يقارب 1%، لمنع معظم هجمات حقن الحمولة.
• آلية تصنيف استثنائية على الطرف المستقبل: يمكنها، مع معدل خطأ 6.7%، تصنيف 89% من عينات الحمولة الخبيثة، مما يساعد المطورين على إجراء مراجعة يدوية.
• سجلات شفافية إضافية: رغم أنها لا تمنع الهجمات، إلا أنها تحفظ هاش الطلبات والردود، مما يسهل تتبع الحوادث وتقييم الأضرار عند وقوعها.

دعوة لمزودي النماذج العليا لإنشاء آليات تحقق تعتمد على التشفير

رغم أن آليات الدفاع على طرف العميل يمكنها حاليًا تقليل بعض المخاطر، إلا أنها لا تحل جذريًا ثغرات التحقق من هوية المصدر. طالما أن التعديلات على نقاط التحويل لا تثير إنذارات أمنية، يمكن للمهاجمين بسهولة تغيير نوايا التنفيذ والتخريب.

ولضمان أمان نظام الذكاء الاصطناعي بشكل كامل، يجب أن تعتمد الشركات المزودة للنماذج على آليات تحقق تعتمد على التشفير، بحيث يتم ربط نتائج النموذج والأوامر النهائية التي ينفذها العميل بشكل مشفر، لضمان سلامة البيانات من طرف إلى طرف، ومنع سلسلة التوريد من التلاعب بالبيانات عبر نقاط التحويل.

قراءات إضافية:
استخدام OpenAI لـ Mixpanel تسبب في تسريب بيانات بعض المستخدمين، احذر من رسائل التصيد

خطأ في النسخ واللصق أدى إلى اختفاء 50 مليون دولار! عودة عمليات الاحتيال عبر عناوين التشفير، كيف يمكن الوقاية منها