لدى مساعدي ترميز الذكاء الاصطناعي عادة اختلاق الأشياء. اطلب من أحد الأشخاص إحضار أداة شائعة، وسيقوم في بعض الأحيان بإرجاع اسم يبدو حقيقيًا لمشروع غير موجود.

البحث الجديد الذي يسميه مؤلفوه HalluSquatting، يحول هذه العادة إلى هجوم: اكتشف الأسماء المزيفة التي يخترعها الذكاء الاصطناعي بشكل موثوق، وقم بتسجيلها أولاً، وانتظر حتى يقوم المساعد بإحضار فخك نيابة عن المستخدم.

أي شخص يستطيع مساعد الذكاء الاصطناعي الخاص به جلب مورد خارجي ثم تشغيل الأوامر مع القليل من المراجعة البشرية يتم كشفه. وفي الاختبارات، قاد هذا المسار المساعد إلى تشغيل تعليمات برمجية يقدمها المهاجم على الجهاز.

كرر ذلك باستخدام مورد شائع بما فيه الكفاية، ويمكن أن يصل اسم واحد مزروع إلى العديد من الأجهزة، ولهذا السبب قام الباحثون بتأطيره كطريقة لتجميع الروبوتات.

كيف يعمل

يتضمن الهجوم اثنين من مراوغات الذكاء الاصطناعي. الأول هو أ هلوسة: الذكاء الاصطناعي يصنع شيئًا ويقدمه على أنه حقيقي. والثاني هو أ الحقن الفوري: تعليمات مفخخة تختطف الذكاء الاصطناعي، بحيث تتبع المهاجم بدلاً من المستخدم.

هنا، يعتبر الحقن من النوع غير المباشر، حيث يعتمد على المحتوى الذي يجلبه المساعد بدلاً من أي شيء يكتبه المستخدم.

  1. اختر هدفا. يجد المهاجم مستودعًا أو مكونًا إضافيًا رائجًا، لذلك يطلب الكثير من الأشخاص من الذكاء الاصطناعي الخاص بهم جلبه. يعد الاتجاه أمرًا مهمًا، لأن المورد الجديد تمامًا غير موجود في بيانات تدريب الذكاء الاصطناعي، وهذا هو بالضبط الوقت الذي يبدأ فيه النموذج في تخمين الأسماء.
  2. تعلم الخطأ. يطلب المهاجم من الذكاء الاصطناعي جلب هذا المورد مرارًا وتكرارًا ويسجل الاسم المزيف الذي يخترعه في أغلب الأحيان.
  3. المطالبة بالاسم المزيف. يقوم المهاجم بتسجيل هذا الاسم على GitHub أو متجر المكونات الإضافية ويخفي تعليمات الخصم بداخله.
  4. انتظر. يطلب المستخدم الحقيقي من مساعده الاستيلاء على المورد الشائع. يخترع المساعد نفس الاسم المزيف ويسحب نسخة المهاجم بدلاً من ذلك. تتداخل تعليماتها المخفية مع ما يعتقد المساعد أنه طُلب منه القيام به، ويستخدم المساعد المختطف أداة تشغيل الأوامر الخاصة به لتنفيذها.

المصيدة ليست رمزًا يعمل من تلقاء نفسه. إنه يعمل لأن هؤلاء المساعدين يحتفظون بوحدة طرفية بين أدواتهم المدمجة، لذلك بمجرد تولي التعليمات المزروعة، فإن “تثبيت الروبوت” هو ببساطة شيء يمكن للمساعد القيام به.

ما يجعل الأمر عمليًا هو أن الأسماء المزيفة ليست عشوائية. في تجارب الباحثين، كان الخطأ ثابتًا: عبر عبارات مختلفة ونماذج من شركات مختلفة، توصل المساعد إلى نفس الاسم الخاطئ في ما يصل إلى 85% من طلبات المستودع و100% من عمليات تثبيت المهارات. هذه هي معدلات الذروة التي ذكرها المؤلفون؛ الورقة تحمل الانهيار الكامل.

لقد قاموا بتشغيله ضد أدوات بما في ذلك Cursor، وWindsurf، وGitHub Copilot، وCline، وGemini CLI من Google، وعائلة OpenClaw من المساعدين، حيث جعلوا كل منها يقوم بتشغيل تعليمات برمجية للمهاجم. وكانت حمولات الاختبار عبارة عن عناصر نائبة غير ضارة، وليست برامج ضارة حقيقية؛ الشخص الحي سيأخذ نفس المسار.

يأتي هذا البحث من آية سبيرا وزملائها في مجموعة بن ناسي في جامعة تل أبيب، مع ستاف كوهين من التخنيون ورون بيتون من إنتويت. لقد قامت مجموعة ناسي بذلك من قبل، حيث قامت ببناء دودة بريد إلكتروني ذاتية الانتشار تعمل بالذكاء الاصطناعي ودعوة للتقويم والتي اختطفت برنامج Gemini الخاص بشركة Google.

يقول الفريق إنه أخبر البائعين المتأثرين وصانعي النماذج ومشغلي السوق قبل طرحه للعامة، وأوقف الخطوات الدقيقة اللازمة لنسخ الهجوم.

لماذا هو نوع جديد من الروبوتات

تحتاج شبكات الروبوت التقليدية إلى الكثير من العمل من أجل بنائها. إنهم يعتمدون على كلمات مرور ضعيفة، أو برامج ضارة تنتقل من جهاز إلى آخر، وعادةً ما يحشدون نوعًا واحدًا من الأجهزة، بالطريقة التي تتبعها شركة Mirai في الكاميرات وأجهزة التوجيه.

وهذا لا يحتاج إلى أي من ذلك. لا توجد كلمات مرور، ولا يوجد دودة، ولأن الحمولة تصل كنص يقرأه الذكاء الاصطناعي بدلاً من استغلال الشبكة، فهذا ليس من النوع الذي يراقبه جدار الحماية. يمكن للآلات التي تهبط عليها تشغيل أي نظام تشغيل، وليس أسطولًا واحدًا موحدًا.

الذكاء الاصطناعي هو شاحنة التسليم هنا، وليس البضائع. تخدعه التعليمات المزروعة لتثبيت روبوت عادي، وبمجرد تشغيل هذا الروبوت، ينتمي الجهاز إلى شبكة الروبوتات مثل أي روبوت آخر. الجديد هو التركيبة التي توصلنا إلى هذا الهدف: اسم يخترعه الذكاء الاصطناعي بشكل متوقع، وسوق حيث يمكن لأي شخص تسجيل هذا الاسم، ووكيل لديه إذن بالجلب والتشغيل.

القطع ليست جديدة، حتى لو كان الجمع. تعلم المهاجمون أولاً تسجيل أسماء حزم البرامج المزيفة التي يخترعها الذكاء الاصطناعي، وهي خدعة تسمى “slopsquatting”.

في يناير 2026، اكتشف تشارلي إريكسن من Aikido Security إحدى حزم npm المختلقة، وهي تحويل الكود التفاعلي، حيث انتشرت تعليمات الذكاء الاصطناعي المكتوبة بالفعل إلى 237 مشروعًا برمجيًا، ولا يزال الوكلاء يحاولون تثبيتها يوميًا؛ لقد سجلها بنفسه قبل أن يتمكن أي مهاجم من ذلك، لذلك لم يسبب أي ضرر.

ثم انتقلت الفكرة من الحزم إلى عناوين الويب. وصفت الوحدة 42 التابعة لشركة Palo Alto Networks مؤخرًا “القرفصاء الوهمي”، وهو ما يقرب من 250.000 نطاقًا مهلوسًا غير مسجل ومتاح مجانًا (مقالة THN موجودة هنا).

HalluSquatting هو الإصدار الذي يصل إلى تشغيل التعليمات البرمجية عن طريق اختطاف الوكيل الذي يقوم بالجلب. والأسواق التي تهدف إلى فحص التحميلات السيئة لا تشكل دعمًا كبيرًا: في شهر يونيو، تجاوزت Trail of Bits “المهارات” الخبيثة عبر العديد من الماسحات الضوئية في المتاجر في أقل من ساعة.

ما يجب القيام به

كل ذلك يتم بشرط واحد: وكيل يقوم بإحضار مورد خارجي وتشغيله دون أن يفحصه أحد. أغلق ذلك، وتوقف الهجوم. الحل الأكثر فعالية هو أيضًا الأبسط: اجعل المساعد يبحث قبل أن يتم جلبه.

البحث الحقيقي يؤسس الوكيل لما هو موجود بالفعل ويقطع التخمين بشكل حاد. هذه مهمة الأشخاص الذين يقومون ببناء هذه الأدوات، والذين يمكنهم أيضًا تدريب المخطط (الجزء الذي يعين الطلب إلى الخطوات) للبحث عن المورد أولاً والتعامل مع كلمات مثل استنساخ، وتثبيت، وجلب كعلامات.

يتمتع المستخدمون وفرق الأمان بأدوات ضغط على المدى القريب. بشكل افتراضي، يسأل هؤلاء الوكلاء قبل تشغيل الأمر. التعرض هو أوضاع التشغيل التلقائي (علامة تخطي الأذونات الخاصة بـ Claude Code، ووضع yolo الخاص بـ Gemini CLI) التي تقوم بإيقاف تشغيل ذلك، لذا فإن القاعدة الأولى هي عدم السماح للوكيل بالعمل دون مراقبة على أي شيء جلبه.

تضيف بعض الأدوات الآن طبقة أمان تفحص ما يقرأه الوكيل أو ما على وشك القيام به قبل أن يتصرف، مثل الوضع التلقائي لـ Claude Code وفحص Conseca الخاص بـ Gemini CLI، ولكن هذا يقلل من المخاطر بدلاً من إزالتها. لا يوجد مفتاح واحد يغلق هذا، لذا تحقق أيضًا من أن اسم المستودع أو الحزمة يتحول إلى المصدر الحقيقي المتوقع قبل أن يسحبه الوكيل، وتعامل مع أي اسم يقدمه لك الذكاء الاصطناعي على أنه تخمين، وليس حقيقة.

المنصات لها رافعة خاصة بها. يمكنهم التوقف عن السماح للأشخاص بإعادة استخدام أسماء المستودعات المعروفة ضمن حسابات جديدة، والتسجيل المسبق للأسماء المزيفة التي من المرجح أن يخترعها الذكاء الاصطناعي (نفس الدفاع المستخدم بالفعل ضد السطو المطبعي)، بحيث تشير هذه الأسماء إلى المشروع الحقيقي.

يطلق الباحثون على نتائجهم اسم الحد الأدنى: “الهجمات تتحسن دائمًا، ولا تسوء أبدًا”. لا يوجد CVE واحد لتصحيحه هنا. إنهم لا يصنفونها على أنها خطأ في منتج واحد، بل على أنها نقطة ضعف في كيفية ثقة عملاء الذكاء الاصطناعي في الأسماء التي لم يتم إعطاؤها لهم مطلقًا.

شاركها.
اترك تعليقاً