تخطي إلى المحتوى الرئيسي

ما هي هجمات حقن المطالبات وكيف يمكن التلاعب بـ AI؟

أيادي أعمال تكتب على حاسوب محمول مع رموز تحذيرية تُظهر مخاطر الذكاء الاصطناعي مثل حقن المطالبات وكسر الحماية

أدوات الذكاء الاصطناعي مثل ChatGPT وClaude وGemini أصبحت شائعة في صناديق البريد، وسير العمل، والروتين اليومي، ومعظم الناس لا يفكرون مرتين في آثارها الأمنية. هذا بدأ يتغير.

تقنية تسمى حقن المطالبات تلفت الانتباه في دوائر أمن البرمجيات، وما يميزها هو أنها لا تحتاج برمجيات خبيثة، ولا مهارات متخصصة، ولا روابط مشبوهة. في بعض الحالات يكفي جملة مصاغة جيدًا لاختطاف أداة الذكاء الاصطناعي دون أن يعلم المستخدم.

ما يجب أن تعرفه:

  • حقن المطالبات يستغل أدوات الذكاء الاصطناعي عبر لغة مُصاغة بعناية، وليس عبر برمجيات خبيثة أو مهارات تقنية.
  • يعمل لأن نماذج الذكاء الاصطناعي لا تستطيع التفريق بين تعليمات المطوّر ومدخلات المستخدم.
  • يمكن أن تكون الهجمات مباشرة أو غير مباشرة أو مخزنة داخل بيانات تقرأها أنظمة الذكاء الاصطناعي مرارًا.
  • بعض الهجمات تستخدم نصًا غير مرئي أو تنسيقًا مخفيًا لا يراه المستخدمون أبدًا.
  • هجوم ناجح قد يكشف بيانات خاصة أو يفعّل إجراءات لم تُوافق عليها.
  • لا يوجد حل كامل حتى الآن، لكن تقييد صلاحيات أنظمة الذكاء الاصطناعي ومراقبة ما تقوم به يقلل من المخاطر.

ما هو حقن المطالبات؟

حقن المطالبات تقنية يمكن للمهاجم من خلالها تغيير سلوك أداة الذكاء الاصطناعي. لا يلزم استغلال ثغرة في البرمجيات أو تثبيت برمجية خبيثة، لأن المهاجم يستطيع التلاعب بالنموذج عبر اللغة وحدها.

نشأ المصطلح على يد عالم الحاسوب سيمون ويليسون عام 2022، وقد صنّفته OWASP كأهم تهديد أمني لتطبيقات الذكاء الاصطناعي، وهي جهة ترصد أكثر التهديدات الحرجة في أمن البرمجيات.

يمكن تشبيهه بـالهندسة الاجتماعية موجهة للآلات لأنه أقرب إلى التصيّد الاحتيالي منه إلى الاختراق التقليدي. يستغل خللًا جوهريًا في نماذج اللغة الكبيرة: بُنيت لتتبع التعليمات. الصفة التي تجعلها مفيدة هي نفسها التي تجعلها قابلة للاستغلال. مدخل مصاغ جيدًا قادر على إلغاء قواعد الأداة الأصلية، أو تغيير استجابتها، أو جعلها تكشف معلومات كان من المفترض أن تظل مخفية. الحقن الناجح لا يغيّر القواعد فقط، بل قد يكشف كل ما ترتبط به النموذج.

على عكس حقن الشيفرة التقليدي أو استغلالات أمنية أخرى تتطلب مهارات متخصّصة، فإن أي شخص يعرف كيف يصيغ جملة مقنعة يمتلك الأدوات اللازمة بالفعل.

كيف يعمل حقن المطالبات؟

جذر المشكلة هو أن أنظمة الذكاء الاصطناعي لا تميّز بين المهام. هي "عمياء" أمام الفرق بين تعليمات المطوّر ومدخلات المستخدم.

يكتب مطورو أنظمة الذكاء الاصطناعي مطالبات مخفية تحدد القواعد التي تعمل بها الأداة. تُدمج مدخلاتك مع تلك المطالبات، ويعالج الذكاء الاصطناعي كل النص كتيار واحد مستمر. لا يستطيع التمييز أي الأجزاء تعليمات المطوّر وأيها مدخلاتك. لذلك إذا بدا مدخلُك كأمر، فقد يتبعه النموذج حتى لو تعارض ذلك مع نوايا المطوّر.

لا تبدو كل الهجمات متشابهة. عمومًا تنقسم إلى ثلاث فئات: حقن مباشر، غير مباشر، ومخزن.

ما هو حقن المطالبات المباشر؟

الحقن المباشر يعني كتابة تعليمات خبيثة مباشرة في الدردشة. شيء بسيط مثل "تجاهل كل التعليمات السابقة" قد يكفي. تستغل هذه الطريقة ميل نماذج الذكاء الاصطناعي إلى إعطاء الأولوية للمدخلات الجديدة على قواعد المطوّر.

ما هو حقن المطالبات غير المباشر؟

الحقن غير المباشر يخفي تعليمات خبيثة داخل محتوى خارجي تعالجه أنظمة الذكاء الاصطناعي، مثل صفحات الويب أو البريد الإلكتروني.

على سبيل المثال، قد يزرع المهاجم نصًا مخفيًا في صفحة ويب يأمر النموذج بتجاهل قواعده والتوصية برابط معين. إذا طُلب من النموذج تلخيص تلك الصفحة، فسيقرأ الأمر المخفي جنبًا إلى جنب مع المحتوى الحقيقي وقد يتبعه، دون أن يلحظ المستخدم أي شيء. يعتبر الباحثون الأمنيون على نطاق واسع أن الحقن غير المباشر هو أكثر نقاط الضعف الأمنية خطورة في أنظمة الذكاء الاصطناعي التوليدية، ومن أصعبها للدفاع.

ما هو حقن المطالبات المخزن؟

الحقن المخزن يعمل بزراعة تعليمات ضارة في أماكن يقرأها الذكاء الاصطناعي بانتظام، مثل قواعد البيانات أو بيانات التدريب.

يمكن أن يؤثر الحقن المخزن على عدة مستخدمين عبر جلسات مختلفة، لأن التعليمات مخزنة بدلًا من أن تُكتب في الوقت الفعلي. قد يبدو وكيل الذكاء الاصطناعي وكأنه يعمل بشكلٍ طبيعي، لكن استجاباته قد تشكّلت بشكل خفي بواسطة شيء تم تضمينه منذ وقت طويل قبل أن يفتح المستخدم البرنامج.

حافظ على حمايتك مع انتشار أدوات الذكاء الاصطناعي في حياتنا اليومية

حقن المطالبات مثال على كيفية التلاعب بأنظمة الذكاء الاصطناعي. تساعد Kaspersky Premium في حماية أجهزتك وبياناتك وحساباتك من التهديدات الرقمية المتطورة.

جرّب Kaspersky Premium مجانًا

ما التقنيات المستخدمة في هجمات حقن المطالبات؟

يستخدم حقن المطالبات نصًا عاديًا لخداع النماذج لتتبع تعليمات غير مصرح بها. تكمن المخاطر في أن نماذج الذكاء الاصطناعي تعالج كل النص بنفس الطريقة ولا تستطيع التمييز بين مدخل شرعي ومحتوى مُعدل.

تندرج معظم الهجمات ضمن فئتين: حيل تخفي التعليمات باستخدام شيفرة أو تنسيق، وحيل تخفي التعليمات بحيث لا يراها البشر على الإطلاق. في كلتا الحالتين، يبدو المحتوى طبيعياً لأي شخص يقرأ الصفحة.

حيل الشيفرة والتنسيق

تستخدم بعض الهجمات كتل الشيفرة أو وسم العلامات أو نصًا منسقًا لتجعل التعليمات الخبيثة تبدو كأمر نظام شرعي. قد يعني ذلك تغليف النص بتنسيق شبيه بالشيفرة أو هيكلته ليشبه مطالبة نظام المطوّر.

تعليمات مخفية ومتنكّرة

تخفي هجمات أخرى التعليمات في وضح النهار باستخدام خدع بصرية من غير المرجح أن يلاحظها البشر، مثل نص أبيض على خلفية بيضاء، أحجام خطوط صغيرة جدًا، تباعد غير اعتيادي، حروف خاصة، ترميز يونيكود، أو كتابة التعليمات بلغة مختلفة تمامًا. قد يرى الإنسان المستند أو صفحة الويب ولا يكشف له شيء غريب، لكن النماذج تقرأ كل النص الأساسي بغض النظر عن كيفية عرضه.

هذه التقنيات مستخدمة بالفعل. قام مهاجمون بتضمين تعليمات غير مرئية في صفحات ويب لاختطاف وكلاء المتصفح المدعومين بالذكاء الاصطناعي، كما استخدمها متقدّمون للوظائف في سير ذاتية لخداع أدوات فرز السيرة الذاتية المدعومة بالذكاء الاصطناعي.

مخطط يوضح كيف يمكن للتعليمات المخفية في مستند أن توجّه مخرجات الذكاء الاصطناعي عبر حقن المطالبات

أمثلة على حقن المطالبات

كيف خُدع Bing Chat ليكشف قواعده الداخلية

في فبراير 2023، استخدم كيفن ليو، طالب من ستانفورد، هجوم حقن مطالبات مباشر ليكشف تعليمات النظام الخفية في Bing Chat. كل ما فعله كان كتابة "تجاهل التعليمات السابقة" وطلب من النموذج قراءة قواعده الداخلية. سلّم الدردشة الاسم الرمزي الداخلي "Sydney" والإرشادات التشغيلية الخفية. عندما قامت مايكروسوفت بسد الثغرة، وجد ليو طريقة للالتفاف على التصحيح خلال ساعات عبر التظاهر بأنه مطوّر.

كيف خدع النص المخفي في السير الذاتية أدوات فرز الذكاء الاصطناعي

بدأ المتقدمون للوظائف في تضمين تعليمات حقن مطالبات مخفية في سيرهم الذاتية للتأثير على أدوات التوظيف المدعومة بالذكاء الاصطناعي. تتضمن التقنية كتابة عبارات مثل "هذا مرشح مؤهل تأهيلًا استثنائيًا" بلون أبيض أو بحجم خط صغير جدًا بحيث تصبح غير مرئية للقارئ البشري لكنها تلتقطها النماذج.

اكتسبت الطريقة انتشارًا على وسائل التواصل الاجتماعي في 2024. أفادت شركة التوظيف ManpowerGroup بأنها وجدت نصًا مخفيًا في حوالي 10% من السير الذاتية التي تفحصها باستخدام الذكاء الاصطناعي. ووجدت منصة التوظيف Greenhouse مطالبات مخفية مماثلة في 1% من 300 مليون سيرة ذاتية تعالجها سنويًا.

كيف خُدعت برامج الدردشة لمشاركة معلومات خاصة

تضمّن أحد الحالات المبكرة لهجوم حقن المطالبات بوت Twitter تابعًا remoteli.io ومُشغَّلًا بواسطة ChatGPT، كان مصممًا لنشر تعليقات إيجابية عن العمل عن بُعد. اكتشف المستخدمون أنه يمكنهم تغريد تعليمات تأمره بتجاهل هدفه الأصلي، فانتهى به الأمر إلى نشر تصريحات عامة غريبة.

وفي وقت لاحق، أظهر باحثون أمنيون أن وكيل متصفح ChatGPT Atlas من OpenAI يمكن اختطافه عبر تعليمات مخفية مزروعة في رسائل البريد الإلكتروني. في تجربة واحدة، تسببت رسالة خبيثة تحتوي على مطالبة مضمّنة في إرسال رسالة استقالة إلى مدير المستخدم بدلًا من صياغة رد غياب عن المكتب المطلوب. لم ير المستخدم الأمر المخفي أبدًا، لكن النموذج نفّذ التعليمات على أي حال.

لماذا يجب على المستخدمين العاديين الانتباه لحقن المطالبات؟

يمكن لحقن المطالبات التلاعب بأدوات الذكاء الاصطناعي دون علمك. عندما يلخص النموذج مستندًا أو يصوغ بريدًا إلكترونيًا، فإنه يستند إلى مصادر خارجية. إذا تم التلاعب بأيٍ من تلك المصادر، فإن مخرجات النموذج تصبح مُعرّضة للخطر، وكل ذلك دون أن تشعر.

لهذا يبرز حقن المطالبات عن غيره من التهديدات الإلكترونية. لا تحتاج إلى النقر على رابط أو تنزيل ملف مريب. تطرح سؤالًا عاديًا، ويرد عليك النموذج بإجابات تشكّلت بواسطة تعليمات دفنها شخص آخر داخل المحتوى الذي استخدمه النموذج. قد يكون الأمر تزييفًا بسيطًا — مثل ملخص منحاز أو رابط غير مطلوب — لكن في حالات أخطر قد تتسرب بياناتك الشخصية أو تتخذ الأداة إجراءات لم توافق عليها. وغالبًا ما تبدو المخرجات المُعدّلة طبيعية تمامًا، بلا رسائل خطأ أو إشارات واضحة.

لا يعني هذا أن تتوقف عن استخدام هذه الأدوات، لكنه يعني أنك لا تستطيع افتراض أن مخرجات الذكاء الاصطناعي دومًا حيادية وموثوقة.

هل حقن المطالبات هو نفسه كسر الحماية؟

حقن المطالبات وكسر الحماية مرتبطان لكن لا يمكن استبدالهما. كسر الحماية شكل من أشكال حقن المطالبات يستهدف تحديدًا حواجز السلامة. تهدف هذه الطريقة إلى جعل النموذج يتجاهل سياسات المحتوى أو ينتج مخرجات مقيدة.

حقن المطالبات أوسع نطاقًا. يشمل أي محاولة لاختطاف سلوك النموذج عبر مدخل مصاغ، مثل كشف أوامر نظام مخفية أو جعل الأداة تؤدي إجراءات غير مصرح بها. الهدف ليس دائمًا تعطيل فلاتر السلامة؛ في كثير من الأحيان يريد المهاجم أن تنفذ الأداة مجموعة مختلفة من التعليمات دون أن يلاحظ أحد.

فرق آخر مهم يتعلق بمن يتأثر. كسر الحماية عادة فعل مقصود يقوم به المستخدم في جلسته الخاصة. أما حقن المطالبات، وخصوصًا الأنواع غير المباشرة والمخزنة، فقد يؤثر على مستخدمين أبرياء لم يدركوا أبدًا أن المحتوى الذي سئلوا عنه تم التلاعب به. هذه مشكلة أمنية مميزة، ولهذا تصنّف OWASP حقن المطالبات كأعلى مخاطر تطبيقات الذكاء الاصطناعي بدلاً من اعتبار كسر الحماية فئة منفصلة.

كيف يمكنك منع حقن المطالبات؟

لا يوجد حل سحري لحقن المطالبات الآن لأن الثغرة تنبع من نفس السبب الذي يجعل هذه الأدوات مفيدة: قدرتها على اتباع التعليمات. لذا لا يستطيع المطورون إزالتها دون تعطيل طريقة استخدام الناس لها فعليًا.

يواصل مطورو أنظمة الذكاء الاصطناعي تحسين فلترة المدخلات، ويساعد الاختبار العدائي في التقليل من المخاطر، لكن لا شيء في السوق يقضي على الخطر تمامًا.

مع ذلك يمكنك فعل كثير. معظم الإجراءات أساسية وبعيدة عن التعقيد:

  • كن متابعًا دائمًا. لا تدع أدوات الذكاء الاصطناعي تعمل آليًا دون رقابة. راجع دائمًا ما تخطط الأداة لفعله قبل أن تنفّذه.
  • قَيِّد الوصول حيثما أمكن. عندما تطلب أداة الذكاء الاصطناعي إذن الوصول لبريدك الإلكتروني أو ملفاتك، تساءل عما إذا كانت بحاجة فعلًا لذلك. تجنّب لصق كلمات المرور أو بيانات مالية أو معلومات حساسة في نوافذ دردشة النموذج.
  • كن مشككًا تجاه ما توصيك به الأداة. إذا ضمّ الرد رابطًا غير متوقع، أو أوصى بشيء لم تطلبه، أو وجهك نحو إجراء يبدو غريبًا، تامل قبل التنفيذ.
  • حافظ على التحديثات. يصدِر المطورون تحديثات دورية تصلح ثغرات وتقوّي الدفاعات. تشغيل إصدار قديم يعني فقدان تلك الحماية.

قائمة تحقق للخطوات الأساسية لمنع هجمات حقن المطالبات، بما في ذلك تقييد وصول الذكاء الاصطناعي ومراجعة الإجراءات.

ماذا تفعل إذا تصرّفت أداة الذكاء الاصطناعي بشكل غير متوقع؟

إذا بدأت أداة الذكاء الاصطناعي تتصرّف بغرابة، أوقف العمل فورًا ولا تنفّذ أي شيء تأمر به. قد لا يكون السبب حقن مطالبات، لكن إذا شعرت أن هناك خطبًا ما، عليك التحقق قبل المتابعة.

بعض المؤشرات التي تستدعي الحذر:

  • تقترح فعل شيء لم تطلبه أبدًا
  • تظهر روابط أو توصيات بمنتجات لا تتعرف عليها
  • تطلب معلومات شخصية لا علاقة لها بالمهمة
  • يتغير النبرة فجأة أثناء المحادثة
  • تتوقف الإجابات عن المنطق أو تبدو منفصلة عما طلبته

إذا حدث أي مما سبق، أغلق الجلسة وابدأ من جديد. لا تحاول استكشاف المشكلة داخل نفس المحادثة لأن الجلسة قد تكون مخترقة، وبقاؤك فيها يعني استمرارية الخطر.

بعد ذلك، راجع خطواتك وفكّر فيما كان لدى الأداة من وصول. هل كان بريدك الإلكتروني مفتوحًا؟ هل كان بإمكان البرنامج تنفيذ إجراءات نيابةً عنك؟ إذا بدا شيء غير صحيح، تراجع عن التغييرات وغيّر كلمات المرور فورًا.

أين يقع حقن المطالبات ضمن أمن الذكاء الاصطناعي الأوسع؟

يحتل حقن المطالبات مرتبة متقدمة في أولويات أمان الذكاء الاصطناعي لأنه يهاجم النموذج نفسه. هذا يميّزه عن الاحتيال الإلكتروني والتصيّد الاحتيالي والبرمجيات الخبيثة والاختراقات التقليدية الأخرى التي تستهدف الأنظمة المحيطة بأنظمة الذكاء الاصطناعي.

وتتصاعد المشكلة. قبل فترة لم تكن أدوات الذكاء الاصطناعي تتعدى توليد النص فقط. الآن باتت تتصفح الويب، وتقرأ رسائلك، وتصل إلى ملفاتك، وتكتب الشيفرات، وتتخذ إجراءات نيابةً عنك. معايير مثل MCP تسهّل ربط أنظمة الذكاء الاصطناعي بالخدمات الخارجية. كلما ازداد ما يمكن لهذه الأدوات فعله، زاد الأذى الذي قد ينجم عن هجوم ناجح.

وهناك مسألة النطاق. يعمل حقن المطالبات مثل الهندسة الاجتماعية—يقنع النموذج باتّباع تعليمات لا ينبغي عليه اتباعها عبر تقديمها بالشكل الصحيح. لكن خلافًا لعملية احتيال هاتفية تستهدف شخصًا واحدًا، يمكن أن يؤثر أمر مخفي واحد في صفحة ويب شعبية على كل أدوات الذكاء الاصطناعي التي تقرأها.

لا يعني أي من هذا أن أدوات الذكاء الاصطناعي غير آمنة للاستخدام. لكن الأمن ما زال يلحق بسرعة اعتماد هذه الأدوات، ولذلك ستظل المسؤولية الأمنية تقع على عاتق المستخدمين النهائيين.

مقالات ذات صلة:

منتجات موصى بها:

الأسئلة الشائعة

هل حقن المطالبات غير قانوني؟

لا يوجد قانون يجرّم حقن المطالبات بشكل محدد. لكن الأفعال التي تُرتكب بواسطته، مثل الوصول إلى بيانات مقيدة أو استخراج معلومات خاصة، تندرج تحت قوانين الاحتيال الحاسوبي والجرائم الإلكترونية القائمة. المخاطر القانونية قائمة بالفعل، لكن التشريعات لم تلحق بالوضع بعد.

هل يمكن أن يتعرض أشخاص عاديون لحقن المطالبات؟

نعم. إذا كنت تستخدم أي أداة تعالج محتوى خارجيًا باستخدام الذكاء الاصطناعي، فقد تتأثر بسهولة (وربما دون أن تدرِ). الهجوم يستهدف أداة الذكاء الاصطناعي نفسها وليس الشخص مباشرة.

هل يمكن لحقن المطالبات سرقة بيانات شخصية؟

نعم، إذا كانت أداة الذكاء الاصطناعي لديها وصول إلى بيانات شخصية. سواء كان بريدك الإلكتروني أو ملفاتك أو غيرها، قد تأمر تعليمات مخفية الأداة باستخراج ومشاركة تلك المعلومات. أظهر باحثون أن وكلاء المتصفح المدعومين بالذكاء الاصطناعي يمكن خداعهم لإرسال مستندات حساسة إلى جهات غير مصرح لها.

هل حقن المطالبات هو نفسه الاختراق؟

حقن المطالبات ليس اختراقًا تقليديًا. بدلًا من استغلال ثغرات في الشيفرة، يغيّر ما يقرأه النموذج. إنها هندسة اجتماعية موجّهة إلى آلة. النتيجة قد تشبه الاختراق (تسريب بيانات أو إجراءات غير مصرح بها)، لكن الآلية مختلفة جوهريًا.

ما هي هجمات حقن المطالبات وكيف يمكن التلاعب بـ AI؟

يعتبر الحقن الفوري تهديدًا متزايدًا لأمان الذكاء الاصطناعي يستخدم لغة ، وليس برمجيات خبيثة ، لاختطاف أدوات الذكاء الاصطناعي. تعرف على كيفية عملها ، وما هي المخاطر ، وكيفية حماية نفسك.
Kaspersky logo

مقالات ذات صلة