مهاجمو نماذج اللغات الكبيرة وكيفية التصدي لهم

لا يقتصر أمان الذكاء الاصطناعي على منع سرقة البيانات، أو تقييد وكلاء الذكاء الاصطناعي المستقلين، أو منع المساعدين الرقميين من تقديم نصائح ضارة فحسب. بل ظهر تهديد بسيط نسبيًا لكنه يتوسع بسرعة فائقة، ويتمثل في محاولات الاستيلاء على القدرات الحوسبية واستغلال الشبكات العصبية للآخرين لتحقيق مكاسب شخصية. ويُعرف هذا باسم LLMjacking. ومع التوقعات الواسعة النطاق بحدوث قفزة هائلة في تكاليف حوسبة الذكاء الاصطناعي، فإن أعداد المهاجمين المدفوعين بهذه الدوافع مهيأة للنمو. وبناءً على ذلك، عند نشر خوادم الذكاء الاصطناعي الخاصة والأنظمة البيئية الداعمة لها مثل RAG أو MCP، يصبح من الأهمية بمكان وضع تدابير أمنية صارمة منذ اليوم الأول.

إحصائيات من فخ رقمي

إن أفضل ما يوضح سرعة محاولات الاستيلاء على هذه الموارد ونطاقها الواسع هو تجربة وُثقت بالتفصيل في أبريل ٢٠٢٦. وقد اعدّ الباحث جهاز Raspberry Pi ليتخفى في شكل خادم ذكاء اصطناعي خاص وعالي الأداء، وجعله متاحًا عبر الإنترنت. وعند الاستعلام عنه، أظهر الخادم توفر خوادم Ollama وLM Studio وAutoGPT وLangServe وtext-gen-webui — وهي جميعًا أدوات تُستخدم عادةً كأغلفة لنماذج الذكاء الاصطناعي المستضافة محليًا. وبدا الخادم أيضًا مستعدًا لقبول طلبات واجهة برمجة التطبيقات بتنسيق OpenAI، والتي أصبحت المعيار القياسي في هذا القطاع.

بدا أن هذه الخدمات جميعها تعمل بواسطة نسخة محلية من نموذج Qwen3-Coder 30B Heretic، وهو أحد أقوى النماذج مفتوحة المصدر التي تم إلغاء محاذاة الأمان الخاصة بها. ولزيادة إغراء المهاجمين، أظهر الفخ الرقمي وجود قواعد بيانات RAG متنوعة وخادم MCP يحتوي على صلاحيات مغرية مدمجة به مثل get_credentials.

في الواقع، كان جهاز Raspberry Pi يستضيف ببساطة 500 استجابة محفوظة مسبقًا ومستخرجة من نموذج Qwen3 حقيقي، مع وجود برمجية نصية خفيفة لاختيار الإجابة الأكثر ملاءمة لكل استعلام وارد. وكان هذا الإعداد كافيًا لاجتياز فحص سطحي، وفي الوقت نفسه أتاح للباحث فرصة سبر أغراض المهاجمين ونواياهم.

وفقًا لما ذكره الكاتب، فقد اكتشف محرك Shodan، وهو خدمة شهيرة لمسح الإنترنت، الخادم في غضون ثلاث ساعات من تشغيله الفعلي. وبعد ساعة واحدة فقط من ذلك، بدأت تتدفق طلبات تشبه عمليات استطلاع القدرات. وعلى مدار الشهر التالي، عالج الخادم أكثر من 113,000 طلب من آلاف عناوين IP الفريدة، وكانت 23% من حركة المرور تلك موجهة بشكل خاص لاكتشاف قدرات الذكاء الاصطناعي واستغلال النماذج اللغوية الكبيرة (LLMs) المحلية ووكلاء الذكاء الاصطناعي.

تتيح الطلبات المرسلة إلى نقاط النهاية مثل /api/tags و/v1/models للمهاجمين تحديد البصمة الرقمية للنماذج المستضافة على الخادم، في حين أن فحص ملف /.cursor/rules يسبق عادةً أي محاولة لاستغلال وكيل الذكاء الاصطناعي. وبالمثل، فإن التحقق من ملف /.well-known/mcp.json يعمل بمثابة عملية جرد لخوادم MCP الخاصة بالضحية. ورغم أن الكاتب لم يذكر العدد الإجمالي للهجمات التي تجاوزت مرحلة الفحص البسيط، إلا أنه تم تسجيل 175 محاولة نشطة للاستيلاء على النموذج اللغوي الكبير (LLM) خلال الأسبوع الأخير من التجربة وحده.

ما الذي يسعى إليه المهاجمون؟

بناءً على ملاحظات الباحث، لم يحاول أي من مستهدفي الخادم الفخ تنفيذ برمجيات عشوائية أو الحصول على صلاحيات الجذر. (ملاحظة تحريرية: هذا أمر مثير للدهشة وقد يشير إلى وجود ثغرات في سجلات الأنشطة). وكانت جميع الهجمات تقريبًا تستهدف استنزاف الموارد. على سبيل المثال، تم تسجيل الأنشطة التالية أثناء التجربة:

• محاولة منظمة لتحليل الوثائق الفنية الخاصة بمعالج دقيق
• أمر نصي لكتابة رواية رومانسية مثيرة
• طلبات لتحليل وهيكلة بيانات نصية من وسائل التواصل الاجتماعي تتعلق بثغرات أمنية جديدة
• محاولة لاستدعاء نماذج Anthropic باستخدام الخادم المخترق كخادم وكيل لواجهة برمجة التطبيقات

مما يجدر ذكره أن عمليات استطلاع موارد الذكاء الاصطناعي تستخدم أدوات معيارية ومتطورة بسرعة. وقد صدرت طلبات من تطبيق يحمل اسم LLM-Scanner من البنية التحتية لسبعة من مزودي الخدمات السحابية المختلفين موزعين على ثماني دول، مما يشير إلى أن المهاجمين قد وضعوا منهجيات راسخة، فضلاً عن منصات متخصصة لتبادل التقنيات. وبحلول الأسبوع الثالث من التجربة، جرى تحديث أداة المسح بإضافة فحص إضافي: أصبحت تستخدم أسئلة مجردة وبسيطة لتحديد ما إذا كانت تتفاعل مع ذكاء اصطناعي حقيقي أم مع فخ رقمي يعود بإجابات جاهزة ومحفوظة مسبقًا.

من بين الهجمات غير المتخصصة، سجلت التجربة محاولات عديدة لتهريب بيانات الاعتماد من ملف .env. بحث المهاجمون بشكل ممنهج عن هذا الملف في كل دليل محتمل على الخادم. ويُعد ترك ملف .env متاحًا للوصول العام أحد أكثر الأخطاء بدائية عند نشر المشاريع القائمة على Laravel وNode.js والأطر البرمجية الأخرى، ومع ذلك فإنه لا يزال هفوة شائعة – لا سيما بين المبتدئين ومطوري الهواية والحدس. وبناءً على ذلك، يمتلك المهاجمون كل الأسباب التي تجعلهم يتوقعون أن تؤتي جهودهم ثمارها.

الاستنتاجات والنصائح الدفاعية

إن مسح الخوادم المتاحة للوصول العام ومحاولة استغلالها ليس بالأمر الجديد، لكن صعود النماذج اللغوية الكبيرة (LLMs) يمنح المهاجمين طريقة أخرى لترجمة جهودهم إلى مكاسب مادية — وهي طريقة تدرّ عليهم أرباحًا طائلة وتكبد ضحاياهم خسائر فادحة في آن واحد. ولكي نفهم مدى الضخامة التي قد تصل إليها هذه الهجمات، يكفي أن ننظر إلى النظير الأقرب لها: سوق تعدين العملات الرقمية الخفي — حيث يقوم المجرمون بتعدين العملات المشفرة باستخدام موارد حاسوبية مسروقة. وقد نمت تلك السوق بنسبة 20% في عام 2025 وحده. ومع انتشار الحلول المدعومة بالذكاء الاصطناعي، وإقدام كبار المزودين على رفع تكاليف الاشتراكات في ظل النقص المستمر في رقاقات الذكاء الاصطناعي المحلية، يتعين علينا أن نتوقع تحول LLMjacking إلى ظاهرة تجري على نطاق صناعي واسع.

التدابير الدفاعية الرئيسة للبنية التحتية الخاصة بالذكاء الاصطناعي

• بالنسبة لأنظمة الذكاء الاصطناعي التي تعمل محليًا على جهاز واحد، تأكد من تهيئة خوادم مثل LM Studio أو Ollama أو ما شابهها لقبول الاتصالات عبر الواجهة المحلية (localhost) فقط، بدلاً من جميع واجهات الشبكة المتاحة. ويؤدي هذا إلى قصر الوصول إلى النموذج اللغوي الكبير (LLM) على الجهاز المضيف نفسه، ويمنع إمكانية الوصول إلى الذكاء الاصطناعي عبر الإنترنت.
• بالنسبة للخوادم التي تتعامل مع الطلبات عن بُعد – حتى لو كان الخادم يعمل فقط داخل شبكة شركات محلية – قم بتطبيق آليات قوية للمصادقة والتفويض بدلاً من الاعتماد فقط على التحقق من مفاتيح واجهة برمجة التطبيقات. وتُعد الحلول القائمة على بروتوكولات OIDC أو OAuth2 مع رموز وصول قصيرة الأجل هي الأكثر فاعلية. ولا يقتصر دور هذا الإجراء على الدفاع ضد هجمات LLMjacking فحسب، بل يتيح أيضًا تتبعًا أكثر دقة لأنشطة المستخدمين، ويمنع إساءة استخدام مفاتيح واجهة برمجة التطبيقات. علاوة على ذلك، يجب حماية المفاتيح ليس فقط من المهاجمين الخارجيين؛ حيث إن هناك خطرًا متزايدًا يكمن في إساءة استخدام المفاتيح بواسطة وكلاء الذكاء الاصطناعي أنفسهم. وينطبق هذا على واجهات النماذج اللغوية الكبيرة (LLMs) بالإضافة إلى منظومات MCP وRAG وغيرها.
• استخدم تجزئة الشبكة والقوائم البيضاء لعناوين IP لمنح صلاحية الوصول إلى خادم الذكاء الاصطناعي للإدارات والموظفين والخدمات التي تحتاج إليها فقط.
• تأكد من تأمين جميع اتصالات العميل والخادم باستخدام إصدار حديث من بروتوكول TLS.
• طبّق مبدأ الحد الأدنى من الصلاحيات عبر فصل صلاحيات الوصول إلى خدمات معينة؛ على سبيل المثال، يجب أن تمتلك مكونات MCP وLLM رموز وصول منفصلة وخاصة بكل منها.
• تأكد من تثبيت وكيل حماية EDR على جميع محطات العمل والخوادم، بما في ذلك تلك التي تستضيف نماذج الذكاء الاصطناعي.
• راقب استهلاك موارد الذكاء الاصطناعي، وحدد حصص استخدام مخصصة للأدوار الوظيفية المختلفة للموظفين، وأنشئ تنبيهات للاستجابة للقفزات المفاجئة وغير الطبيعية في النشاط.
• احرص على الاحتفاظ بسجلات تفصيلية لاستجابات نموذج اللغة الكبير والطلبات المرسلة إلى النموذج والأدوات الداعمة له. واربط مصادر البيانات هذه بنظام SIEM الخاص بك. وتأكد من أن السجلات محصنة ضد التلاعب أو الحذف.