وكلاء البرمجة بالذكاء الاصطناعي باتوا يطلقون تنبيهات أمنية على أجهزة ويندوز، لأن سلوكهم يشبه كثيراً أساليب المهاجمين أثناء العمل اليومي.
لماذا تثير وكلاء البرمجة بالذكاء الاصطناعي إنذارات الحماية؟
المشكلة ليست في وجود نية خبيثة، بل في طريقة التنفيذ. فهذه الأدوات تعمل أحياناً كما لو أنها مختبر أمني متقدم: تشغّل أوامر، تسحب ملفات، وتحاول الوصول إلى بيانات محفوظة كي تنفذ مهمة طلبها المستخدم.
لكن محركات الحماية السلوكية لا تفسر النوايا، بل تراقب الأفعال. وعندما ترى برنامجاً يفك بيانات اعتماد المتصفح أو يستعرض محتوى مخزن كلمات المرور في ويندوز، فإنها تتعامل معه كتهديد محتمل حتى لو كان مجرد مساعد برمجي.
ما الذي رصدته أنظمة المراقبة؟
البيانات التي جرى تحليلها امتدت على مدار 7 أيام خلال يونيو 2026، مع الاعتماد على عدد الأجهزة الفريدة لا عدد الأحداث الخام. وهذا يعني أننا أمام لقطة محددة من بيئة فعلية، لا مسح شامل لكل السوق.
- 56.2% من الأنشطة المحظورة ارتبطت بالوصول إلى بيانات الاعتماد
- 28.8% من التنبيهات جاءت من عمليات تنفيذ وتشغيل أوامر
- الرصد تم على أجهزة ويندوز باستخدام محرك تحليل سلوكي
ما السلوكيات التي اعتبرتها الأنظمة خطرة؟
أبرز الحالات كانت مرتبطة باستخدام واجهة DPAPI في ويندوز لفك تشفير بيانات تسجيل الدخول المخزنة داخل المتصفح. هذا النوع من السلوك معروف منذ سنوات كإشارة قوية على سرقة بيانات الاعتماد.
وفي حالات أخرى، حاولت بعض الأدوات إيقاف المتصفح مؤقتاً ثم تشغيل سكربتات لاستخراج معلومات من مخزن كلمات المرور. كما ظهر سلوك آخر يتمثل في تشغيل الأمر cmdkey /list لاستعراض بيانات Windows Credential Manager.
- فك تشفير بيانات المتصفح المحفوظة
- استعراض بيانات الاعتماد المخزنة في ويندوز
- تنزيل ملفات عبر أدوات نظام مدمجة
- تنفيذ أوامر متتابعة بعد فشل المحاولة الأولى
وفقاً لرصد تيكبامين، هذه الأنشطة ليست جديدة على خبراء الأمن، لكن الجديد هو أن من ينفذها الآن قد يكون مساعداً برمجياً يستخدمه المطور بشكل مشروع داخل بيئة العمل.
كيف تصرفت أدوات مثل كلود كود وOpenAI Codex؟
في إحدى الحالات، انتقل وكيل برمجي من طريقة إلى أخرى عندما تم حظر مساره الأول. هذا السلوك لافت، لأن تغيير الخطة بعد الفشل يشبه ما يفعله المهاجم الحقيقي أكثر من كونه سكربتاً ثابتاً.
مثلاً، جرى تنزيل مثبت بايثون من الموقع الرسمي عبر أداة نظام مدمجة، ثم جرت محاولة بديلة باستخدام أداة أخرى عندما فشل الأسلوب الأول. ورغم أن الملف نفسه غير ضار، فإن طريقة الوصول إليه بدت لأنظمة الحماية مثل أسلوب "العيش على أدوات النظام" الشائع في الهجمات.
لماذا يهم ذلك للمطورين؟
- قد تتوقف مهام التطوير الآلية بسبب الحظر الأمني
- بعض أوضاع التشغيل واسعة الصلاحيات ترفع مستوى المخاطر
- فرق الأمن تحتاج إلى تمييز أفضل بين النشاط المشروع والهجومي
ماذا تعني هذه النتائج لمستقبل الحماية على ويندوز؟
الرسالة الأساسية هي أن الدفاعات الحالية ستحتاج إلى فهم أعمق لسلوك وكلاء البرمجة بالذكاء الاصطناعي، لا الاكتفاء بالنمط التقليدي الذي يساوي بين كل وصول حساس وبين اختراق فعلي.
وفي المقابل، على الشركات وضع سياسات أكثر صرامة لصلاحيات هذه الأدوات، خصوصاً على أجهزة المطورين. ويبدو أن المرحلة المقبلة ستفرض توازناً جديداً بين الإنتاجية والأمان، وهو ما تتابعه تيكبامين مع اتساع اعتماد وكلاء البرمجة بالذكاء الاصطناعي داخل بيئات العمل.