اكتشف خبراء الأمن في JFrog تهديدًا “بالاختطاف السريع” يستغل نقاط الضعف في كيفية تواصل أنظمة الذكاء الاصطناعي مع بعضها البعض باستخدام MCP (بروتوكول السياق النموذجي).
يرغب قادة الأعمال في جعل الذكاء الاصطناعي أكثر فائدة من خلال الاستخدام المباشر لبيانات الشركة وأدواتها. لكن ربط الذكاء الاصطناعي بهذه الطريقة يفتح أيضًا مخاطر أمنية جديدة، ليس في الذكاء الاصطناعي نفسه، ولكن في كيفية ارتباطه جميعًا. وهذا يعني أن مدراء تكنولوجيا المعلومات ومديري تكنولوجيا المعلومات بحاجة إلى التفكير في مشكلة جديدة: الحفاظ على تدفق البيانات الذي يغذي الذكاء الاصطناعي آمنًا، تمامًا كما يقومون بحماية الذكاء الاصطناعي نفسه.
لماذا تعتبر هجمات الذكاء الاصطناعي التي تستهدف بروتوكولات مثل MCP خطيرة جدًا؟
تعاني نماذج الذكاء الاصطناعي ــ سواء كانت موجودة على جوجل، أو أمازون، أو تعمل على الأجهزة المحلية ــ من مشكلة أساسية: فهي لا تعرف ما يحدث الآن. إنهم يعرفون فقط ما تم تدريبهم عليه. إنهم لا يعرفون ما هو الكود الذي يعمل عليه المبرمج أو ما هو موجود في ملف على جهاز الكمبيوتر.
أنشأ الباحثون في Anthropic MCP لإصلاح هذا الأمر. تعد MCP وسيلة للذكاء الاصطناعي للاتصال بالعالم الحقيقي، مما يسمح له باستخدام البيانات المحلية والخدمات عبر الإنترنت بأمان. هذا ما يتيح لمساعد مثل كلود فهم ما يعنيه هذا عندما تشير إلى جزء من التعليمات البرمجية وتطلب منه إعادة صياغة ذلك.
ومع ذلك، يُظهر بحث JFrog أن طريقة معينة لاستخدام MCP بها نقطة ضعف سريعة في الاختطاف يمكن أن تحول أداة الذكاء الاصطناعي الحلم هذه إلى مشكلة أمنية كابوسية.
تخيل أن أحد المبرمجين يطلب من مساعد الذكاء الاصطناعي أن يوصي بأداة بايثون القياسية للتعامل مع الصور. يجب أن يقترح الذكاء الاصطناعي وسادةوهو خيار جيد وشائع. ولكن، بسبب وجود خلل (CVE-2025-6515) في ملف oatpp-mcp النظام، يمكن لأي شخص التسلل إلى جلسة المستخدم. يمكنهم إرسال طلبهم المزيف وسيعامله الخادم كما لو أنه جاء من المستخدم الحقيقي.
لذلك، يتلقى المبرمج اقتراحًا سيئًا من مساعد الذكاء الاصطناعي يوصي فيه بأداة وهمية تسمى theBestImageProcessingPackage. يعد هذا هجومًا خطيرًا على سلسلة توريد البرامج. يمكن لأي شخص استخدام هذا الاختطاف الفوري لإدخال تعليمات برمجية سيئة أو سرقة البيانات أو تشغيل الأوامر، كل ذلك بينما يبدو وكأنه جزء مفيد من مجموعة أدوات المبرمج.
كيف يعمل هجوم الاختطاف الفوري MCP
يعبث هجوم الاختطاف السريع هذا بالطريقة التي يتواصل بها النظام باستخدام MCP، بدلاً من أمان الذكاء الاصطناعي نفسه. تم العثور على نقطة الضعف المحددة في إعداد MCP لنظام Oat++ C++، والذي يربط البرامج بمعيار MCP.
تكمن المشكلة في كيفية تعامل النظام مع الاتصالات باستخدام الأحداث المرسلة من الخادم (SSE). عندما يتصل مستخدم حقيقي، يمنحه الخادم معرف الجلسة. ومع ذلك، تستخدم الوظيفة المعيبة عنوان ذاكرة الكمبيوتر الخاص بالجلسة كمعرف الجلسة. وهذا يتعارض مع قاعدة البروتوكول التي تنص على أن معرفات الجلسة يجب أن تكون فريدة وآمنة من الناحية التشفيرية.
يعد هذا تصميمًا سيئًا لأن أجهزة الكمبيوتر غالبًا ما تعيد استخدام عناوين الذاكرة لحفظ الموارد. يمكن للمهاجم الاستفادة من ذلك من خلال إنشاء وإغلاق الكثير من الجلسات بسرعة لتسجيل معرفات الجلسة المتوقعة. لاحقًا، عندما يتصل مستخدم حقيقي، قد يحصل على أحد هذه المعرفات المعاد تدويرها والتي يمتلكها المهاجم بالفعل.
بمجرد حصول المهاجم على معرف جلسة صالح، يمكنه إرسال طلباته الخاصة إلى الخادم. لا يستطيع الخادم التمييز بين المهاجم والمستخدم الحقيقي، لذلك يرسل الاستجابات الضارة مرة أخرى إلى اتصال المستخدم الحقيقي.
حتى إذا كانت بعض البرامج تقبل استجابات معينة فقط، فيمكن للمهاجمين في كثير من الأحيان الالتفاف حول ذلك عن طريق إرسال الكثير من الرسائل بأرقام الأحداث الشائعة حتى يتم قبول إحداها. يتيح ذلك للمهاجم إفساد سلوك النموذج دون تغيير نموذج الذكاء الاصطناعي نفسه. أي شركة تستخدم oatpp-mcp مع تمكين HTTP SSE على شبكة يمكن للمهاجم الوصول إليها، يكون ذلك في خطر.
ما الذي يجب على قادة أمن الذكاء الاصطناعي فعله؟
يعد اكتشاف هجوم الاختطاف الفوري لـ MCP تحذيرًا خطيرًا لجميع قادة التكنولوجيا، وخاصة CISOs وCTOs، الذين يقومون ببناء أو استخدام مساعدي الذكاء الاصطناعي. نظرًا لأن الذكاء الاصطناعي أصبح جزءًا متزايدًا من سير العمل لدينا من خلال بروتوكولات مثل MCP، فإنه يكتسب أيضًا مخاطر جديدة. أصبح الحفاظ على سلامة المنطقة المحيطة بالذكاء الاصطناعي أولوية قصوى الآن.
على الرغم من أن هذا النوع من مكافحة التطرف العنيف يؤثر على نظام واحد، إلا أن فكرة الاختطاف الفوري هي فكرة عامة. للحماية من هذه الهجمات والهجمات المشابهة، يحتاج القادة إلى وضع قواعد جديدة لأنظمة الذكاء الاصطناعي الخاصة بهم.
أولاً، تأكد من أن جميع خدمات الذكاء الاصطناعي تستخدم إدارة آمنة للجلسة. تحتاج فرق التطوير إلى التأكد من قيام الخوادم بإنشاء معرفات الجلسة باستخدام مولدات عشوائية قوية. يجب أن يكون هذا أمرًا ضروريًا في أي قائمة تحقق أمنية لبرامج الذكاء الاصطناعي. إن استخدام المعرفات التي يمكن التنبؤ بها مثل عناوين الذاكرة ليس أمرًا جيدًا.
ثانياً، تعزيز الدفاعات من جانب المستخدم. يجب تصميم برامج العميل بحيث ترفض أي حدث لا يتطابق مع المعرفات والأنواع المتوقعة. معرفات الأحداث البسيطة والمتزايدة معرضة لخطر رش الهجمات ويجب استبدالها بمعرفات غير متوقعة لا تتعارض.
وأخيرًا، استخدم مبادئ الثقة المعدومة لبروتوكولات الذكاء الاصطناعي. تحتاج فرق الأمان إلى التحقق من إعداد الذكاء الاصطناعي بالكامل، بدءًا من النموذج الأساسي وحتى البروتوكولات والبرامج الوسيطة التي تربطه بالبيانات. تحتاج هذه القنوات إلى فصل وانتهاء صلاحية قويين للجلسة، مثل إدارة الجلسة المستخدمة في تطبيقات الويب.
يعد هجوم الاختطاف الفوري لـ MCP مثالًا مثاليًا لكيفية ظهور مشكلة معروفة في تطبيقات الويب، وهي اختطاف الجلسة، بطريقة جديدة وخطيرة في الذكاء الاصطناعي. إن تأمين أدوات الذكاء الاصطناعي الجديدة هذه يعني تطبيق أساسيات الأمان القوية هذه لوقف الهجمات على مستوى البروتوكول.
أنظر أيضا: كيف يؤدي اعتماد الذكاء الاصطناعي إلى نقل عمليات تكنولوجيا المعلومات من رد الفعل إلى الاستباقي
هل تريد معرفة المزيد عن الذكاء الاصطناعي والبيانات الضخمة من قادة الصناعة؟ اطلع على معرض الذكاء الاصطناعي والبيانات الضخمة الذي يقام في أمستردام وكاليفورنيا ولندن. يعد هذا الحدث الشامل جزءًا من TechEx ويقام في مكان مشترك مع أحداث تكنولوجية رائدة أخرى بما في ذلك معرض الأمن السيبراني، انقر هنا لمزيد من المعلومات.
يتم تشغيل AI News بواسطة TechForge Media. استكشف الأحداث والندوات عبر الإنترنت القادمة الأخرى المتعلقة بتكنولوجيا المؤسسات هنا.