هجوم MemGhost يكشف ثغرة خطيرة في وكلاء الذكاء الاصطناعي؛ إذ يمكن لرسالة بريد واحدة زرع معلومة كاذبة تبقى وتؤثر لاحقاً.
ما هو هجوم MemGhost على وكلاء الذكاء الاصطناعي؟
يركز هذا الهجوم على فئة من المساعدات الذكية التي لا تنسى ما يحدث بعد انتهاء المحادثة، بل تحتفظ بملفات ذاكرة تضم تفضيلات المستخدم ومهامه واتصالاته. المشكلة أن هذه الذاكرة، المصممة لتحسين التجربة، قد تتحول إلى نقطة اختراق صامتة.
الفكرة الأساسية بسيطة لكنها مقلقة: يرسل المهاجم بريداً عادياً ظاهرياً، لكنه يحتوي تعليمات مخفية موجهة إلى الوكيل الذكي نفسه. إذا تعامل الوكيل مع الرسالة بشكل غير آمن، فقد يكتب معلومة مزيفة داخل ذاكرته الدائمة من دون أن يخبر المستخدم.
كيف تنجح رسالة بريد واحدة في خداع الوكيل؟
الاختراق لا يحتاج كلمة مرور
بحسب تفاصيل الدراسة، لا يحتاج المهاجم إلى اختراق الحساب أو سرقة بيانات الدخول. يكفي أن يكون الوكيل مفعلاً لقراءة البريد الإلكتروني أو تنفيذ مهام تلقائية في الخلفية.
عندها قد يمر الهجوم عبر ثلاث مراحل متتالية:
- قراءة الوكيل للرسالة الخبيثة أثناء فحص البريد.
- كتابة "حقيقة" مزيفة داخل ملفات الذاكرة المستمرة.
- الاعتماد على هذه المعلومة لاحقاً في الردود أو القرارات المستقبلية.
الأخطر أن المستخدم قد يرى رداً عادياً تماماً، بينما جرى تعديل الذاكرة في الخلفية. وهنا تكمن خطورة هجوم MemGhost، لأنه لا يكتفي بالخداع اللحظي بل يزرع أثراً طويل المدى.
لماذا يصعب اكتشاف الذكريات المزيفة بعد زرعها؟
توضح التجارب أن كثيراً من الوكلاء يخفون خطواتهم الداخلية افتراضياً، مثل فتح الملفات أو تعديلها. لذلك لا يظهر للمستخدم في واجهة الدردشة أن المساعد غيّر ملف الذاكرة أو أضاف ملاحظة جديدة.
كما أن معظم المستخدمين لا يراجعون ملفات الذاكرة الخام يدوياً، خاصة عندما يعمل الوكيل وفق جدول زمني في الخلفية. ووفقاً لقراءة تيكبامين، فإن هذا الجمع بين الأتمتة والصمت التشغيلي يجعل اكتشاف التلاعب أكثر صعوبة.
مثال عملي على الخداع
أحد السيناريوهات الاختبارية اعتمد على زرع معلومة مالية كاذبة، مفادها أن الحد اليومي لتحويل الأموال عبر Zelle ارتفع إلى 10,000 دولار. لاحقاً قد يتعامل الوكيل مع هذه المعلومة كأنها صحيحة عند تقديم النصائح أو تنفيذ المهام.
- الهدف: تغيير سلوك الوكيل في جلسات لاحقة.
- الوسيلة: رسالة بريد واحدة تبدو عادية.
- النتيجة: معلومة كاذبة تتحول إلى "ذاكرة" دائمة.
ما الملفات التي يستهدفها هجوم MemGhost؟
استهدفت الدراسة ملفات أساسية تُحمَّل مع بداية كل جلسة، مثل ملفات التعليمات الثابتة وملفات الذاكرة الشخصية. هذا يعني أن التأثير لا يبقى محصوراً في جلسة واحدة، بل ينتقل إلى كل محادثة جديدة تقريباً.
وعندما تُكتب المعلومة المزيفة داخل هذه الملفات الجوهرية، يصبح الوكيل أكثر ميلاً إلى استدعائها مستقبلاً. لذلك لا يتعلق الخطر برسالة بريد فقط، بل بكيفية إدارة ذاكرة الوكيل من الأساس.
ماذا يعني ذلك لمستقبل وكلاء الذكاء الاصطناعي؟
تشير هذه النتائج إلى أن ميزات الذاكرة الدائمة في وكلاء الذكاء الاصطناعي تحتاج ضوابط أوضح، مثل مراجعة التغييرات، وعزل محتوى البريد غير الموثوق، وإظهار أي تعديل حساس للمستخدم. من دون ذلك، قد تتحول الذاكرة من أداة مساعدة إلى قناة تلاعب خفية.
في النهاية، يضع هجوم MemGhost مطوري الوكلاء الذكيين أمام سؤال مباشر: كيف نحافظ على فائدة الذاكرة من دون السماح لرسالة واحدة بإعادة كتابة ما يعرفه المساعد عنك؟ هذا ما ستواصل تيكبامين متابعته مع تصاعد الاعتماد على الوكلاء المستقلين.