لا تزال تشتري محطة تحويل الذكاء الاصطناعي على توباو؟ منسق كود كلود: تسريب الشفرة المصدرية، المُبلغ عن المخالفات: على الأقل عشرات تم تسميمهم

كشف أحدث دراسة عن تسريب رمز مصدر كاشف كود كلود، أن محطات التحويل في الذكاء الاصطناعي التجارية تخفي مخاطر أمنية. أظهرت الاختبارات أن بعض هذه المحطات تسرق الشهادات، المفاتيح الخاصة للمحافظ، أو تزرع برمجيات خبيثة، مما يجعلها نقاط هجوم على سلسلة التوريد.

كاشف كود كلود: تسريب رمز المصدر، يكشف مخاطر أمنية لمحطات التحويل في الذكاء الاصطناعي

نشرت مؤخرًا ورقة بحثية بعنوان «وكيلك هو لي» (Your Agent Is Mine)، وأحد مؤلفيها هو الشخص الذي كشف سابقًا عن حادثة تسريب رمز مصدر كاشف كود كلود، تشوفان شو.

هذه الورقة البحثية أول مرة تدرس بشكل منهجي التهديدات الأمنية لموجهات واجهات برمجة التطبيقات (API) الخارجية لنماذج اللغة الكبيرة (LLM)، والمعروفة باسم محطات التحويل، وتكشف أن هذه المحطات قد تصبح نقاط هجوم على سلسلة التوريد.

ما هو محطة التحويل في الذكاء الاصطناعي؟

نظرًا لأن استدعاء نماذج اللغة الكبيرة يستهلك عددًا كبيرًا من الرموز (Tokens)، ويؤدي إلى تكاليف حساب عالية، فإن محطات التحويل تتيح تخزين استفسارات متكررة، مما يساعد العملاء على تقليل التكاليف بشكل كبير.

وفي الوقت نفسه، تمتلك محطات التحويل وظيفة توزيع نماذج بشكل تلقائي، حيث يمكنها وفقًا لصعوبة السؤال، التبديل ديناميكيًا بين نماذج ذات معايير تسعير وأداء مختلفة، كما يمكنها عند انقطاع الاتصال بخادم نموذج واحد، التبديل تلقائيًا إلى نموذج احتياطي لضمان استقرار الخدمة.

محطات التحويل في الصين تحظى بشعبية خاصة، لأنها لا تسمح باستخدام منتجات الذكاء الاصطناعي الأجنبية مباشرة، ومع تزايد الطلب على التوطين في الفوترة، أصبحت محطات التحويل جسرًا مهمًا بين النماذج العليا والمطورين السفليين. تشمل منصات مثل OpenRouter و SiliconFlow، وتندرج ضمن خدمات هذا النوع.

ومع ذلك، فإن محطات التحويل التي تبدو منخفضة التكلفة وسهلة الاستخدام، تخفي وراءها مخاطر أمنية هائلة.

مصدر الصورة: الورقة البحثية تكشف عن مخاطر هجمات سلسلة التوريد على محطات التحويل في الذكاء الاصطناعي

محطات التحويل في الذكاء الاصطناعي تمتلك صلاحيات كاملة، وتصبح ثغرة في سلسلة التوريد

تشير الورقة إلى أن محطات التحويل تعمل على طبقة التطبيق في بنية الشبكة، وتملك صلاحية كاملة لقراءة البيانات النصية الواضحة (JSON) أثناء النقل.

نظرًا لغياب التحقق من تكامل التشفير من طرف إلى طرف بين العميل ومزود النموذج، يمكن لمحطة التحويل بسهولة فحص وتعديل مفاتيح API، أوامر النظام، ومعلمات استدعاء النموذج التي يتم إخراجها.

وأشارت الدراسة إلى أن في مارس 2026، تعرض موجه الروتر المفتوح الشهير LiteLLM لهجوم تشويش الاعتمادية، مما سمح للمهاجمين بحقن برمجيات خبيثة في مسار الطلب، مما يبرز ضعف هذا الجزء.

• تقرير ذات صلة:** ملخص هجوم LiteLLM: كيف تتحقق من صحة المحافظ المشفرة والمفاتيح السحابية؟**

اختبارات مئات محطات التحويل أظهرت سلوكًا خبيثًا

قام فريق البحث بشراء 28 محطة تحويل مدفوعة من منصات مثل تاوباو (Taobao)، شيانيو (Xianyu)، وشوبفاي (Shopify)، وجمع 400 محطة مجانية من مجتمعات عامة لإجراء اختبارات معمقة، ونتائج الاختبار أظهرت أن 1 محطة مدفوعة و8 محطات مجانية تزرع برمجيات خبيثة بشكل نشط.

وفي عينات المحطات المجانية، حاول 17 منها استخدام شهادات AWS التي أنشأها الباحثون، وواحدة منها سرقت عملة مشفرة من محفظة إيثريوم الخاصة بهم.

وأظهرت البيانات أن مجرد إعادة استخدام الشهادات المسربة من قبل مزودين خارجيين، أو توجيه المرور إلى نقاط ضعف أمنية، يمكن أن يجعل حتى المحطات التي تبدو طبيعية عرضة لنفس الهجمات.

وفي اختبار التسمم، اكتشف الفريق أن هذه النقاط المعرضة للهجوم تعاملت مع أكثر من 2.1 مليار رمز Token، وظهرت في 440 جلسة 99 شهادة حقيقية، و400 جلسة كانت تعمل بشكل مستقل تمامًا، مما يتيح للمهاجمين حقن حمولة خبيثة بسهولة ودون الحاجة إلى شروط معقدة.

مصدر الصورة: الورقة البحثية أظهرت أن أكثر من 400 محطة تحويل، وأن نتائج الاختبارات كشفت أن عشرات من محطات التحويل في الذكاء الاصطناعي تظهر سلوكًا خبيثًا

أربعة أساليب هجوم رئيسية مكشوفة

تلخص الورقة أن سلوك الهجوم من قبل محطات التحويل الخبيثة ينقسم إلى فئتين رئيسيتين واثنين من أنواع التهرب التكيفية.

• هجمات حقن الحمولة: بعد أن يعيد النموذج في الطرف العلوي النتائج، تقوم محطة التحويل بسرقة أو تعديل معلمات استدعاء الأدوات، مثل استبدال عنوان URL شرعي بخادم يسيطر عليه المهاجم، مما يؤدي إلى تنفيذ برمجيات خبيثة على العميل.
• هجمات تسريب المعلومات: تقوم المحطة بالتنصت على حركة المرور المارة، وتسرق مفاتيح API، وشهادات AWS، ومفاتيح إيثريوم الخاصة، وغيرها من المعلومات الحساسة.

وللتملص من أدوات الكشف الأمني التقليدية، طور المهاجمون تقنية استهداف الاعتمادية، وهي تعديل أوامر تثبيت الحزم البرمجية بحيث يتم استبدال الحزم الشرعية بأخرى خبيثة، أو ذات اسم مشابه، منشورة على سجلات عامة، لبناء باب خلفي دائم في النظام المستهدف.

طريقة أخرى تعتمد على الشروط، حيث يتم تفعيل السلوك الخبيث فقط عند استيفاء شروط معينة، مثل تجاوز عدد الطلبات 50، أو اكتشاف أن النظام يعمل بشكل مستقل تمامًا (وضع YOLO)، مما يساعد على التملص من فحوصات الأمان المحدودة.

ثلاث تدابير دفاعية ممكنة

لمواجهة هجمات سلسلة التوريد على محطات التحويل في الذكاء الاصطناعي، اقترحت الورقة ثلاث استراتيجيات دفاعية:

• تطبيق سياسات على الأدوات عالية الخطورة: من خلال فحص ومنع أوامر تثبيت النطاقات أو الحزم غير المصرح بها، يمكن لهذا النظام أن يمنع معظم هجمات حقن الحمولة بدقة تصل إلى 99%.
• آلية تصنيف استثنائية على الطرف المستقبل: يمكنها، بنسبة خطأ تصل إلى 6.7%، تمييز 89% من العينات الخبيثة، مما يساعد المطورين على إجراء مراجعة يدوية.
• سجلات شفافية إضافية: على الرغم من أنها لا تمنع الهجمات، إلا أنها تحفظ هاشات الطلبات والاستجابات، مما يسهل تتبع الحوادث وتقييم الأضرار عند وقوعها.

دعوة لمزودي النماذج العليا لإنشاء آليات تحقق تعتمد على التشفير

رغم أن آليات الدفاع على طرف العميل تقلل من بعض المخاطر الحالية، إلا أنها لا تحل جذريًا مشكلة التحقق من هوية المصدر. طالما أن التعديلات على محطات التحويل لا تثير إنذارات أمنية، يمكن للمهاجمين تعديل سلوك البرنامج بسهولة والتسبب في أضرار.

ولضمان أمان نظام الوكيل في الذكاء الاصطناعي بشكل كامل، يجب أن تعتمد الشركات المزودة للنماذج على آليات تحقق تعتمد على التشفير في الردود. فقط من خلال ربط نتائج النموذج والأوامر النهائية التي ينفذها العميل بشكل مشفر، يمكن ضمان سلامة البيانات من النهاية إلى النهاية، والوقاية من مخاطر التلاعب بسلسلة التوريد من قبل محطات التحويل.

قراءات إضافية:
استخدام OpenAI لموديل Mixpanel يسبب تسرب بيانات المستخدمين! احذر من رسائل التصيد الاحتيالي

خطأ في النسخ واللصق يسبب اختفاء 50 مليون دولار! هجمات التسميم على عناوين التشفير، وكيفية الوقاية منها