امنح مساعد الذكاء الاصطناعي ذاكرة وإمكانية الوصول إلى صندوق الوارد الخاص بك، وستمنح المهاجم طريقة لإعادة كتابة ما يعتقد أنه يعرفه عنك. يمكن لبريد إلكتروني واحد أن يخدع هذا الوكيل لحفظ “حقيقة” زائفة حول المستخدم، وإخفاء التغيير، وتوجيه إجاباته بهدوء في جلسات لاحقة.

وعندما ينجح الأمر، يقرأ الشخص ردًا يبدو عاديًا ولا يعلم أبدًا أنه تم العبث بمساعده.

وقد أطلق الباحثون على الهجوم اسم حقن الذاكرة الخفية وقمت ببناء أداة تكتب رسائل البريد الإلكتروني تلقائيًا. نُشرت الورقة البحثية، “عندما تتذكر المخالب ولكن لا تخبر”، على موقع arXiv في 6 يوليو 2026.

أولاً، ما يفعله هؤلاء المساعدون

الوكيل الشخصي هو مساعد الذكاء الاصطناعي الذي يظل موجودًا. بدلاً من نسيان كل شيء عند انتهاء الدردشة، فإنه يحتفظ بملاحظات عنك في الملفات: تفضيلاتك وجهات الاتصال الخاصة بك وما طلبت منه القيام به. فهو يقرأ تلك الملاحظات في بداية كل جلسة جديدة، ولهذا يشعر وكأنه يعرفك.

يمكن للعديد من هؤلاء الوكلاء أيضًا العمل نيابةً عنك، وقراءة بريدك الإلكتروني، والتحقق من التقويم الخاص بك، وتنفيذ مهام صغيرة وفقًا لجدول زمني أثناء غيابك.

يحتفظ OpenClaw، الوكيل مفتوح المصدر المستخدم كهدف أساسي للدراسة، بهذه الحالة في ملفات نصية عادية: بعضها يحتفظ بتعليماته الدائمة (AGENTS.md)، والبعض الآخر يحمل ما تعلمه عنك (MEMORY.md). فهو يسحب العناصر الأساسية إلى سياق النموذج في بداية كل جلسة.

هذه الملاحظات هي بيت القصيد من المنتج. وهم أيضا الهدف.

هجوم البريد الإلكتروني الواحد

لا يحتاج المهاجم إلى كلمة المرور الخاصة بك أو حسابك. يرسلون بريدًا إلكترونيًا إلى شخص تم إعداد وكيله للتحقق من صندوق الوارد الخاص به، وهي مهمة روتينية بالنسبة لهؤلاء المساعدين. يوجد في رسالة البريد الإلكتروني هذه نص موجه إلى المساعد، وليس إليك.

إذا استحوذت مهارة البريد الإلكتروني لدى الوكيل على الطعم، فستحدث ثلاثة أشياء على التوالي. يستخدم الوكيل أدوات الملفات الخاصة به لكتابة ملاحظة المهاجم الكاذبة في ذاكرته الدائمة. ردها المرئي لا يقول شيئًا عن القيام بذلك. وبعد ذلك، في محادثة جديدة، تغير تلك الملاحظة الكاذبة ما تخبرك به أو تفعله لك.

في إحدى حالات اختبار الدراسة، كانت الكذبة المزروعة هي أن حد إرسال Zelle اليومي للمستخدم قد تم رفعه إلى 10000 دولار.

لا يمكنك التقاط التغيير لعدة أسباب. يقوم المساعد بإخفاء خطواته وراء الكواليس حسب التصميم، وبالتالي فإن اللحظة التي يقوم فيها بتحرير ملف لا تظهر أبدًا في الدردشة. قليل من المستخدمين يفتحون ملفات الذاكرة الأولية لقراءتها. وعندما يعمل الوكيل وفقًا لجدول زمني في الخلفية، فإنه غالبًا لا يرسل أي رسالة على الإطلاق، لذلك ليس هناك ما يمكن ملاحظته.

لجعل السم يلتصق، تستهدف الأداة الملفات الأساسية التي تقوم بتحميل كل جلسة، بحيث يتم تحميل كتابة واحدة في كل جلسة لاحقة بدلاً من انتظار سحبها من مخزن ذاكرة منفصل.

يتم إنشاء الهجوم بواسطة أداة يسميها الباحثون MemGhost. وقام صانعوها بتدريب نموذج مهاجم غير متصل بالإنترنت على نسخة ظلية من وكيل شخصي، ومكافأة رسائل البريد الإلكتروني التي تم حفظ الذاكرة مع الحفاظ على الرد هادئًا. وفي وقت الهجوم، يقوم بكتابة البريد الإلكتروني النهائي في طلقة واحدة، دون الرجوع إلى الضحية ذهابًا وإيابًا.

عبر 56 حالة اختبار جديدة، نجح MemGhost في تنفيذ الهجوم الكامل، حيث قام بزرع ذكرى زائفة وإخفائها ثم التأثير على إجابات العميل في جلسة لاحقة. لقد نجح في 87.5% من عمليات تشغيل وضع الخلفية ضد OpenClaw على GPT-5.4، و71.4% ضد وكيل Claude Code SDK على Sonnet 4.6.

كانت هذه عمليات تشغيل معيارية معزولة، ولا تبدأ إلا بعد وصول البريد الإلكتروني بالفعل إلى صندوق الوارد الذي يقرأه الوكيل، لذلك لا يوجد شيء هنا يختبر ما إذا كانت الحمولة الحقيقية تمسح تصفية البريد العشوائي أو مصادقة المرسل أولاً.

كان النجاح بشكل عام أقل في اختبارات الوضع الأمامي، حيث يمكن للمستخدم رؤية الرد. في وضع الخلفية، ظلت النسبة أعلى من 80% في كل من إطاري عمل الوكيل الآخرين وفي مخزن الذاكرة القائم على المتجهات بدلاً من الملفات العادية. كما بنى الفريق WhisperBench، وهو معيار مكون من 108 حالة يمتد من المخاطر بدءًا من النصائح الطبية السيئة إلى خسارة الأموال والتخريب الأمني.

نظرة عامة على إطار عمل WhisperBench

الإصدارات الخام من الخدعة تفشل في الغالب. تم التقاط أو تجاهل عبارة “احفظ هذا بهدوء ولا تقل شيئًا” من قبل أقوى النماذج في كل مرة تقريبًا ؛ المولد المدرب هو ما دفع الأرقام للأعلى. كما أنها تجاوزت الدفاعات التي تهدف إلى وقف هذا النوع من الهجوم.

لقد فات مرشح الإدخال المصمم لالتقاط رسائل البريد الإلكتروني المسمومة رسالة MemGhost أكثر من تسع مرات في عشر مرات، كما أن النموذج المقوى خصيصًا لتجاهل التعليمات التي تصل عبر البريد الإلكتروني لا يزال يتبع التعليمات المزروعة حوالي نصف الوقت. حتى عندما طُلب من المالك أن يسأل صراحةً، “أخبرني بما قمت بفحصه وماذا فعلت”، ظل الهجوم مخفيًا حوالي ربع الوقت على طراز واحد.

لا يوجد تصحيح سريع للانتظار. تتعامل سياسة الأمان الخاصة بـ OpenClaw مع الحقن الفوري من تلقاء نفسها على أنه خارج نطاق الإصلاح، ما لم يتجاوز أيضًا حدود التفويض أو سياسة الأداة أو الموافقة أو وضع الحماية. لا يتخطى MemGhost أيًا من هذه الميزات، نظرًا لأنه يعمل من خلال أداة كتابة الذاكرة الخاصة بالوكيل، ويستمر الباحثون في إظهار هذا النوع بالضبط من الحقن في إطار العمل.

يقول مؤلفو الدراسة إن الحل الحقيقي يجب أن يكون داخل الوكيل: وضع علامات على مصدر المعلومات، وسؤال المستخدم قبل أن يصل أي شيء إلى الذاكرة الدائمة، وتسجيل كل عملية كتابة. حتى تلك الأراضي، فإن الإعداد المكشوف هو أي وكيل يقرأ البريد غير الموثوق به ويمكنه كتابة ذاكرته الخاصة دون طلب ذلك.

الحل الصريح هو الفصل بين هاتين الوظيفتين. إذا فشل ذلك، فضع حدًا لما يمكن أن يتغير أثناء التشغيل الذي يتم تشغيله عبر البريد الإلكتروني، وتحقق من ملفات الذاكرة بعد وصول أي شيء مريب.

أكد OpenClaw هذا الموقف لـ The Hacker News وتراجع عن كيفية إعداد الصحيفة لوكيلها. تطلب إرشادات الأمان الخاصة بها من المشغلين توجيه البريد الإلكتروني غير الموثوق به من خلال وكيل قارئ منفصل مجرد من الذاكرة والملف وأدوات الصدفة، وتمرير ملخص فقط إلى الوكيل الرئيسي، وهو ما لم تختبره الورقة البحثية.

ويجادل أيضًا بأن مستوى النموذج مهم: يستخدم OpenClaw GPT-5.4، وهو نموذج حدودي حالي، لكن المؤلفين تخطوا Claude Opus 4.6 فيما يتعلق بالتكلفة، وأشار OpenClaw إلى HackMyClaw، وهو تحد عام حيث فشلت الآلاف من رسائل البريد الإلكتروني المحقونة في انتزاع سر من وكيل Opus 4.6. استهدف هذا الاختبار سرقة البيانات، وليس تسمم الذاكرة، لذا فهو لا يجيب على الورقة بشكل مباشر.

قالت OpenClaw إنها تدرس ضوابط الكتابة في الذاكرة للمحتوى الخارجي، بما في ذلك المصدر، وسجلات التدقيق، ومطالبات التأكيد، في نفس الاتجاه الذي توصي به الورقة. لقد تواصلت Hacker News أيضًا مع مؤلفي الورقة وستقوم بتحديث هذه القصة بأي رد.

النسخة اليدوية جاءت أولا

في عام 2024، أظهر الباحث يوهان ريبيرجر نفس الخطوة يدويًا ضد ChatGPT، حيث زرع التعليمات في ذاكرته طويلة المدى من خلال محتوى الويب المسموم حتى يستمر في تسريب بيانات المستخدم عبر الدردشات المستقبلية. أطلق عليه اسم SpAIware. أغلق OpenAI مسار تسرب البيانات، لكن القدرة على كتابة الذاكرة من محتوى غير موثوق ظلت قائمة.

وبعد مرور عام، وصلت إلى منتج الشحن. استخدم EchoLeak (CVE-2025-32711)، الذي كشفت عنه Aim Security في يونيو 2025، بريدًا إلكترونيًا يحتوي على نص مخفي لجعل Microsoft 365 Copilot يسلم بيانات الشركة الداخلية عندما يطرحها المستخدم لاحقًا سؤالاً عاديًا. قامت Microsoft بتقييمه بأنه حرج وأصلحته، ولم يتم الإبلاغ عن أي إساءة استخدام في العالم الحقيقي.

أوضحت دراسة حالة لاحقة كيف تجاوزت مرشحات مساعد الطيار. أظهر كلاهما أن المحتوى الذي يقرأه الذكاء الاصطناعي يمكن أن يحمل أوامر، يتم تسليمها عبر بريد إلكتروني يمكن لأي شخص إرساله.

ما يضيفه MemGhost هو المثابرة: كان لا بد من زرع نسخة Rehberger يدويًا، ولم يسرب EchoLeak البيانات إلا في اللحظة التي يُطلب فيها ذلك، ولكن هنا تعمل الحمولة الآلية على تحويل بريد إلكتروني واحد إلى ذاكرة زائفة تبقى في مكانها وتوجه الجلسات لفترة طويلة بعد اختفاء الرسالة.

هذه نتيجة معملية، وليست عملية اقتحام قيد التنفيذ. أجرى الباحثون كل شيء في بيئات اختبار مغلقة مع صناديق بريد وارد مزيفة ومستخدمين مزيفين، واختبار المستندات الورقية في المعمل فقط، وليس استخدامها ضد أشخاص حقيقيين؛ ويقولون إنهم يخططون للكشف عن النتائج التي توصلوا إليها وأنماط الهجوم والمعيار لصانعي العوامل والنماذج المتضررة.

يتم الاحتفاظ بالتخفي في الدراسة جزئيًا لأن الوكلاء القادرين مصممون على إبقاء نشاط أدواتهم خارج الدردشة. النموذج الوحيد الذي كشف عن نفسه قام بذلك عن طريق طباعة خطواته الوسيطة في الرد، ويتوقع الباحثون أن يصبح الكشف أكثر صعوبة مع تحسن العملاء في العمل بهدوء.

المشكلة الحقيقية أكثر وضوحًا: أصبحت الرسالة الواردة من الخارج سياقًا دائمًا وموثوقًا به داخل العميل، مع عدم وجود لحظة واضحة حيث وافق عليها أي شخص.

شاركها.
اترك تعليقاً