قم بإقناع متصفح الذكاء الاصطناعي بأنه يلعب لعبة، ويمكنه تسليم تفاصيل تسجيل الدخول الخاصة بك. هذا هو الاكتشاف وراء الصدمة الحيوية، وهي تقنية من شركة LayerX الأمنية التي خدعت ستة متصفحات ومساعدين للذكاء الاصطناعي لنسخ بيانات اعتماد المستخدم وإرسالها إلى مهاجم.
وشملت الأهداف ChatGPT Atlas من OpenAI، وPerplexity’s Comet، وامتداد متصفح Claude من Anthropic.
متصفح الذكاء الاصطناعي هو الذي يمكنه العمل نيابةً عنك، وليس مجرد قراءة الصفحات. قم بتحويله إلى وضع الوكيل، ويمكنه النقر والكتابة والوصول إلى المواقع التي قمت بتسجيل الدخول إليها بالفعل. هذا الوصول هو بيت القصيد، وهو أيضًا المشكلة.
تنجح الحيلة بسبب الطريقة التي يقرأ بها هؤلاء الوكلاء. تصل صفحة الويب والتعليمات الخاصة بك كدفق واحد من النص. يتيح ذلك لصفحة ضارة أن تتسلل إلى أوامر ترتدي محتوى عاديًا أو قواعد لعبة، ولا يستطيع الوكيل معرفة الفرق بشكل موثوق. يطلق الباحثون على هذا الحقن الفوري غير المباشر.
كيف تعمل الخدعة
يبدأ الهجوم بصفحة ويب تم إنشاؤها على شكل لغز. لتناسب موضوعها البائس، يكافئ اللغز الإجابات الخاطئة، مثل الإصرار على أن 2 + 2 = 5. بمجرد أن يقبل العميل أن “الخطأ” هو الحركة الفائزة، فإنه يتبع منطق اللعبة بدلاً من منطق السلامة. تطلب الخطوة الأخيرة من اللغز الحصول على بيانات اعتماد المستخدم، ولم يشير أي من العملاء الستة إلى ذلك باعتباره شيئًا يجب رفضه.
الجزء الخطير هو المكان الذي ينظر فيه الوكيل. في الاختبار، تم إرسال رابط إلى مستودع GitHub الخاص بعمل الضحية، حيث قام بسحب بيانات اعتماد تسجيل الدخول إلى SSH وتمريرها إلى المهاجم.
استخدم LayerX ملفًا نصيًا عاديًا غير ضار، ولكن الحيلة نفسها يمكن أن توجه الوكيل إلى موارد أخرى يمكنه الوصول إليها في تلك الجلسة: علامات التبويب المفتوحة، والحسابات المسجلة الدخول، والأدوات الداخلية. ولم يتردد الوكيل. وبعد ذلك، أبلغت الشركة عن السرقة باعتبارها فوزًا.
يشير الاسم إلى BioShock، حيث تطيع الشخصية المغسولة دماغها عبارة “هل من الممكن أن تتفضل؟” الوكيل لا يختلف. إنه يثق في السياق الذي يتم تسليمه إليه. قم بتغيير السياق، وسوف تغير ما سيفعله.
وقد أظهرت LayerX هذا النمط من قبل، مما يدل على أن نقرة واحدة يمكن أن تخطف مذنب Perplexity وتسرق البيانات بهدوء.
ماذا فعل الباعة وماذا يفعلون
من خلال حساب LayerX، كانت الإجابات متفاوتة. وقد أبلغت البائعين بالمشكلة في الفترة ما بين أكتوبر 2025 ويناير 2026. وقام OpenAI بإصلاحها في ChatGPT Atlas. أغلقت الحيرة التقرير دون التصرف فيه.
ولم يستجب Fellou وGenspark وSigma. حاولت Anthropic تصحيح ملحق Claude الخاص بها، لكن LayerX تقول إن الإصلاح لم يستمر.
لإيقاف الهجوم، يريد LayerX من متصفحات الذكاء الاصطناعي أن تسأل قبل القراءة من الحسابات التي تم تسجيل الدخول إليها. رسالة واحدة، “أنا على وشك نسخ البيانات من مستودع GitHub الخاص بك. هل تريد المتابعة؟”، من شأنها أن تكسر السلسلة.
كما أنها تريد من الوكلاء أن يلاحظوا عندما تخبرهم الصفحة أن القواعد العادية لم تعد تنطبق، وأن يسمحوا للمستخدمين بوضع حدود صارمة على ما يمكن للوكيل لمسه. الفوز بلعبة ما ليس سببًا لفتح مستودع خاص.
بالنسبة للمستخدمين، النصيحة أقصر. تعامل مع وضع الوكيل بعناية: كل ما قمت بتسجيل الدخول إليه يعد لعبة عادلة، لذا حدد ما يجب أن يراه المتصفح واقطع هذا الوصول عند الانتهاء. بالنسبة لفرق الأمن، يتم توسيع نطاق المنطق نفسه.
يعد متصفح الذكاء الاصطناعي في وضع الوكيل حسابًا آخر له إمكانية الوصول إلى أنظمة الشركة، ويجب أن يحصل على أضيق وصول تحتاجه المهمة بدلاً من الحصول على تصريح دائم لكل شيء يمكن للمستخدم لمسه.
القاسم المشترك بين هذه النتائج هو أن تسليم وكيل الذكاء الاصطناعي مفاتيح حساباتك المسجلة يحول كسر الحماية من خدعة الحفلة إلى وصول حقيقي.
