هجمات Agentjacking تهدد أدوات البرمجة بالذكاء الاصطناعي

اكتشف باحثون فئة جديدة من الهجمات تُدعى Agentjacking تستهدف مساعدي البرمجة بالذكاء الاصطناعي، مما يسمح بتنفيذ أكواد خبيثة على أجهزة المطورين بشكل مباشر.

تشهد الساحة التقنية حالياً نوعاً مبتكراً من التهديدات الأمنية التي تستهدف الأدوات التي يعتمد عليها المطورون يومياً. ووفقاً لمتابعة تيكبامين، فإن هذه الهجمات تستغل الثغرات في كيفية تفاعل نماذج الذكاء الاصطناعي مع تقارير الأخطاء الخارجية، مما يفتح باباً خلفياً للمهاجمين للوصول إلى أعمق أسرار المشاريع البرمجية.

ما هو هجوم Agentjacking وكيف يعمل؟

يعتمد هجوم Agentjacking على خداع مساعدي البرمجة المدعومين بالذكاء الاصطناعي، مثل كلاود كود (Claude Code) وكيرسور (Cursor)، ودفعهم لتنفيذ أوامر برمجية ضارة. يتم ذلك من خلال تزييف تقارير الأخطاء عبر منصة سينتري (Sentry)، وهي منصة شهيرة لتتبع الأخطاء ومراقبة الأداء.

تكمن المشكلة في خلل معماري عند تقاطع نظام استقبال البيانات في سينتري وبروتوكول سياق النموذج (MCP). وبما أن المساعد الذكي لا يستطيع التمييز بين خطأ حقيقي ناتج عن تعطل التطبيق وبين بيانات محقونة من قبل مهاجم، فإنه يعتبر التعليمات الواردة بمثابة خطوات إصلاحية مشروعة ويقوم بتنفيذها فوراً.

خطوات تنفيذ الهجوم البرمجي:

• يقوم المهاجم بإرسال حمولة بيانات خبيثة إلى نظام سينتري.
• يظهر الخطأ للمطور داخل بيئة البرمجة كأنه عطل طبيعي.
• عندما يطلب المطور من مساعد الذكاء الاصطناعي إصلاح الخطأ، يقرأ المساعد الأوامر الخبيثة.
• ينفذ المساعد الأكواد بامتيازات المطور نفسها وعلى جهازه الشخصي.

ما هي المخاطر التي تهدد المطورين والشركات؟

أكدت التقارير التقنية التي راجعها فريق تيكبامين أن نجاح هذا النوع من الهجمات يؤدي إلى عواقب وخيمة، حيث لا يحتاج المهاجم إلى اختراق الخوادم أو استخدام أساليب التصيد التقليدية. بمجرد تنفيذ المساعد الذكي للأمر، يمكنه تسريب بيانات حساسة للغاية.

أبرز البيانات المعرضة للسرقة:

• متغيرات البيئة (Environment Variables) الحساسة.
• بيانات اعتماد نظام Git للدخول إلى المستودعات.
• روابط المستودعات الخاصة (Private Repositories).
• الهويات الرقمية الخاصة بالمطورين وصلاحيات الوصول.

كيف انتشرت هذه الثغرة الأمنية في الأوساط التقنية؟

كشفت الأبحاث الأمنية عن أرقام صادمة تتعلق بمدى انتشار هذا التهديد، حيث تم العثور على ما لا يقل عن 2,388 منظمة مكشوفة مع مفاتيح DSN قابلة للاختراق في منصة سينتري. وفي اختبارات عملية شملت أكثر من 100 مؤسسة، حقق الهجوم معدل نجاح مذهل وصل إلى 85% ضد مساعدي البرمجة الأكثر استخداماً.

تعتمد قوة هذا الهجوم على الثقة الضمنية التي يوليها المطورون للأدوات المساعدة، وعلى عدم قدرة نماذج الذكاء الاصطناعي الحالية على فلترة المدخلات التي تبدو كأنها توجيهات تقنية رسمية. هذا التحدي يضع المطورين في مواجهة مباشرة مع خطر تنفيذ تعليمات برمجية دون إدراك مصدرها الحقيقي.

ما هو رد شركة سينتري على هذه التهديدات؟

أقرت شركة سينتري بوجود هذه المشكلة، لكنها صرحت بأنها "غير قابلة للدفاع عنها تقنياً" بشكل كامل في الوقت الحالي. ومع ذلك، قامت الشركة بتفعيل فلتر محتوى عالمي يحظر سلاسل بيانات معينة مرتبطة بهذه الهجمات لمحاولة الحد من خطورتها.

في الختام، يمثل Agentjacking جرس إنذار للمجتمع البرمجي حول ضرورة الحذر عند دمج أدوات الذكاء الاصطناعي في بيئة العمل. يجب على المطورين مراجعة التعليمات التي يقترحها المساعد الذكي قبل تنفيذها، خاصة تلك المتعلقة بالوصول إلى ملفات النظام أو صلاحيات الدخول، لضمان حماية بياناتهم من هذه الفئة الجديدة من الهجمات المتطورة.