91% بها ثغرات، و94% من وكلاء الذكاء الاصطناعي القابل للتسميم في حالة أمان "فوضوية"

الوكيل الذكي المستقل يتسرب بسرعة مذهلة إلى الرعاية الصحية والمالية وعمليات الشركات، لكن أكبر دراسة أمنية حتى الآن تظهر أن الغالبية العظمى من الوكلاء الذين يعملون في بيئة الإنتاج يعانون من ثغرات خطيرة، وأن وسائل التقييم الأمني السائدة حاليًا تكاد تكون عاجزة عن التعامل معها.

مؤخرًا، اكتشفت فرق بحث مشتركة من جامعة ستانفورد، ومعهد ماساتشوستس للتكنولوجيا CSAIL، وجامعة كارنيجي ميلون، وITU كوبنهاجن، وNVIDIA، أن من بين 847 نظامًا من الوكلاء الذكيين المُنَفَّذَة في الإنتاج، يوجد ثغرات في أدوات الهجوم بنسبة 91%، وظهور انحراف الهدف بعد حوالي 30 خطوة في 89.4%، وتهديدات «التسميم» في 94% من الوكلاء المعززين بالذاكرة. وكشفت الدراسة عن 2,347 ثغرة غير معروفة سابقًا، منها 23% تُصنَّف على أنها خطيرة.

المؤلف الأول للورقة أوين ساكوا أشار إلى حادثة «OpenClaw/Moltbook» في أوائل 2026، لدعم أن هذا التهديد لم يعد نظريًا بل أصبح واقعيًا: ثغرة واحدة في قاعدة بيانات منصة Moltbook أدت إلى اختراق 770,000 وكيل يعمل في المنصة، وكل واحد منها يمتلك صلاحيات وصول خاصة لأجهزة المستخدمين، والبريد الإلكتروني، والملفات. وقال ساكوا: «هذه لم تعد تهديدات افتراضية،».

هذا يشكل تحذيرًا مباشرًا للشركات والمستثمرين الذين يسرعون في اعتماد الوكلاء الذكيين: الأطر الأمنية السائدة حاليًا تعتمد على نماذج لغوية بدون حالة، ولا تستطيع التعرف على الثغرات التوليفية التي تظهر خلال تنفيذ متعدد الخطوات، مما يعني أن العديد من الشركات قد تكون تسيء تقييم الحالة الأمنية الحقيقية لوكلائها الذكيين بشكل منهجي. وعلق خبير علم النفس الإدراكي والذكاء الاصطناعي الأمريكي غاري ماركوس قائلاً: «الوكلاء المستقلون فوضويون تمامًا».

خريطة الثغرات: ست فئات من الهجمات، و2347 نقطة ضعف معروفة

تغطي الدراسة قطاعات الرعاية الصحية (289 نشر، بنسبة 34.1%)، والمالية (247، بنسبة 29.2%)، وخدمة العملاء (198، بنسبة 23.4%)، وتوليد الشفرات (113، بنسبة 13.3%).

أنشأت الدراسة نظام تصنيف من ست فئات للثغرات في الوكلاء الذكيين، يشمل انحراف الهدف وتدهور الأوامر، عدم تزامن المخطط والمنفذ، رفع صلاحيات الأدوات، تسميم الذاكرة، انتهاك استراتيجيات متعددة الخطوات بشكل صامت، وفشل التفويض.

في تقييمات بيئة الإنتاج، تصدرت حالة التلاعب بالحالة (612 حالة، بنسبة 26.1%)، تليها انحراف الهدف (573 حالة، بنسبة 24.4%). على الرغم من أن سوء استخدام الأدوات واستدعاء السلسلة (489 حالة) يحتلان المركز الثالث من حيث العدد، إلا أن خطورتهما كانت الأعلى — حيث تم تصنيف 198 حالة على أنها خطيرة، وهو أعلى نسبة بين جميع الفئات.

الأرقام الأوسع أيضًا مقلقة: 67% من الوكلاء يظهرون انحراف الهدف بعد تنفيذ 15 خطوة، و84% لا يستطيعون الحفاظ على استراتيجيات الأمان عبر الجلسات، و73% يفتقرون إلى آليات كشف تسميم الحالة، و58% يعانون من ثغرات في التوافق الزمني. كما أظهرت الدراسة أن تأثير تسميم الذاكرة يظهر بعد 3.7 جلسات في المتوسط، مما يزيد بشكل كبير من صعوبة الكشف الأمني.

حالة واقعية: اختراق 770,000 وكيل في آن واحد

حالة OpenClaw (التي كانت تعرف سابقًا بـ Clawdbot و Moltbot) تقدم أدلة مباشرة على صحة نماذج التهديد المذكورة.

هذه الوكالة المفتوحة المصدر التي طورها المطور النمساوي بيتر ستاينبرغر في نوفمبر 2025، حصدت خلال أسابيع أكثر من 160,000 نجمة على GitHub، وتتمتع بقدرة على إرسال البريد الإلكتروني بشكل مستقل، وإدارة الجداول الزمنية، وتنفيذ أوامر الطرفية، ونشر الشفرات، مع القدرة على الحفاظ على ذاكرة دائمة عبر الجلسات.

اكتشفت شركة الأمان Astrix Security عبر أداة مسح خاصة بها، ClawdHunter، وجود 42,665 نسخة من OpenClaw على الشبكة العامة، منها 8 نسخ مفتوحة تمامًا وبدون أي تحقق من الهوية.

وفقًا لـ VentureBeat، وصفت فريق أبحاث أمان الذكاء الاصطناعي في Cisco OpenClaw بأنه «اختراقي من ناحية القدرات، لكنه كارثي من ناحية الأمان». وفي مراجعة أمنية أجرتها شركة كاسبرسكي في يناير 2026، تم تحديد 512 ثغرة، منها 8 ثغرات خطيرة.

أما حادثة Moltbook فهي نموذجية جدًا.

هذه المنصة الاجتماعية المصممة خصيصًا لوكيل OpenClaw، انتشرت بشكل فيروسي وجذبت أكثر من 770,000 تسجيل وكيل — حيث يُعلم المستخدمون Moltbook عن وكلائهم، ويقوم الوكيل بعد ذلك بالتسجيل بشكل مستقل.

لاحقًا، سمحت ثغرة في قاعدة بيانات المنصة للمهاجمين بتجاوز التحقق من الهوية، وإرسال أوامر مباشرة إلى أي جلسة وكيل، مما أدى إلى تعرض جميع الـ770,000 وكيل — وكل واحد منها يمتلك صلاحيات على أجهزة المستخدم — للخطر في آن واحد. ووصفت الدراسة هذا بأنه أول هجوم جماعي واسع النطاق على الوكلاء عبر الأحداث.

وصف الباحث الأمني سايمون ويليسون «المثلث القاتل» في OpenClaw بأنه يتجلى بشكل كامل: القدرة على الوصول إلى البيانات الخاصة، والتعرض للمحتوى غير الموثوق، وقنوات الاتصال الخارجية، مما يجعل الوكلاء الذكيين منصة مثالية للمهاجمين.

العيوب الهيكلية: لماذا الوكيل الذكي أكثر هشاشة من نماذج اللغة الكبيرة

الاستنتاج الرئيسي هو أن التحديات الأمنية للوكلاء الذكيين المستقلين تختلف جوهريًا عن تلك الخاصة بنماذج اللغة بدون حالة.

تركز تقييمات أمان نماذج اللغة على «هل يمكن جعل النموذج يقول محتوى غير آمن؟»؛ أما بالنسبة للوكلاء، فالسؤال هو «هل يمكن جعل النموذج يقوم بأفعال غير آمنة» — بما يشمل استدعاءات أدوات ذات تأثير واقعي، وتعديلات الحالة التي تؤثر على السلوك المستقبلي، وتنفيذ خطط تظهر انتهاكاتها عبر خطوات متعددة.

توضح الدراسة ذلك من خلال سيناريوهات محددة: وكيل يمتلك صلاحيات قراءة الملفات (read_file) وطلب HTTP (http_request)، حيث أن كل قرار تحكم في الوصول لكل أداة يُقيم بشكل مستقل، لكنه مع ذلك يمكن أن يُستخدم معًا لسرقة البيانات — كقراءة بيانات الاعتماد من ملف التكوين، ثم إرسالها عبر طلب HTTP إلى نقطة خارجية. وكل خطوة تتوافق مع السياسات المحلية، لكن المجموع يحقق هدفًا معاديًا. أطلقت الدراسة على هذه الظاهرة اسم «الأمان التوليفي» (compositional safety).

في دراسات الهيكلية المقيدة، اختبر الباحثون أنظمة ReAct، والأنظمة متعددة الوكلاء، والوكلاء المعززون بالذاكرة، وأنظمة استخدام الأدوات.

وأظهرت النتائج أن هجمات رفع الصلاحيات على أدوات الوكيل كانت ناجحة بنسبة تصل إلى 95%، وهجمات التسميم على الوكلاء المعززين بالذاكرة بنسبة 94%.

حتى أنظمة الوكلاء متعددة الوكلاء، التي تعتبر الأكثر مقاومة، سجلت نجاحًا بنسبة 58% في هجمات انحراف الهدف — مما دفع الباحثين للاعتقاد بأن جميع الأنظمة التي تم اختبارها حاليًا تفتقر إلى القدرة الكافية لمقاومة الهجمات التعاونية.

كما زادت نتائج توليد الهجمات التكيفية من القلق: حيث أن معدل انتهاك الهجمات التي تولد عبر التعلم المعزز بلغ 79%، بزيادة قدرها 25.4% عن السيناريوهات المصممة يدويًا (63%)، مما يدل على أن التهديدات التي تواجه الوكلاء تتجاوز نطاق اختبارات الفرق الحمراء البشرية.

الأثر المباشر على الشركات: أطر الحماية غير ناضجة بعد

اقترحت الفرق البحثية حدًا أدنى للأمان استنادًا إلى النتائج التجريبية: فرض مراقبة وقت التشغيل على جميع الوكلاء في الإنتاج؛ وضع آليات موافقة يدوية على عمليات أدوات الوصول إلى البيانات والتواصل الخارجي؛ تفعيل مراجعة يدوية بعد كل 20-25 خطوة، لمواجهة الانحرافات التي تظهر بعد ذلك بشكل شبه حتمي؛ ويجب أن يُشفر التحقق من سلامة الحالة الدائمة للوكلاء المعززين بالذاكرة.

وفيما يخص فعالية المراقبة، أظهرت الدراسة أن المراقبة على مستوى الإجراءات (الكشف عن العمليات خطوة بخطوة) يمكن أن تصل دقتها إلى 0.94، وأن المراقبة على مستوى السلسلة (السلوك عبر خطوات متعددة) سجلت درجة F1 قدرها 0.85، وأن المراقبة على مستوى الحالة سجلت F1 قدرها 0.83. وخلال اختبار مراقبة تشغيلية لمدة 30 يومًا على 127 وكيلًا في الإنتاج، تمكن النظام من اعتراض 4782 عملية، مع معدل إنذار كاذب بنسبة 3.7%، و14.6% من العمليات التي تم تصنيفها على أنها هجمات حقيقية.

وأشارت الدراسة أيضًا إلى أن «حوكمة الذكاء الاصطناعي» الحالية تعاني من خلل جوهري: فهي تعتمد بشكل أساسي على التدقيق بعد التنفيذ، وليس على فرض قيود أثناء التنفيذ بشكل فوري.

ومع تطبيق لوائح مثل قانون الذكاء الاصطناعي في الاتحاد الأوروبي، وإطار إدارة مخاطر الذكاء الاصطناعي من NIST في الولايات المتحدة، ستزداد الضغوط التنظيمية والمخاطر الأمنية على الشركات. ومع الانتشار الواسع لوكلاء الذكاء الاصطناعي في سيناريوهات عالية الخطورة، فإن نقص البنية التحتية الأمنية أصبح خطرًا منهجيًا لا يمكن تجاهله في موجة التوسع التجاري للذكاء الاصطناعي.