لا تزال تشتري محطة تحويل الذكاء الاصطناعي على توباو؟ منسق تسريب شفرة Claude: تم تسميم العشرات على الأقل

كشف أحدث دراسة عن تسريب رمز مصدر كاشف كود كلود، حيث يكشف أن محطات التحويل في الذكاء الاصطناعي المتوفرة في السوق تحتوي على مخاطر أمنية خفية. أظهرت الاختبارات أن بعض هذه المحطات تسرق الشهادات، المفاتيح الخاصة للمحافظ، أو تزرع برمجيات خبيثة، مما يجعلها نقاط هجوم في سلسلة التوريد.

كاشف كود كلود، تسريب رمز المصدر، يكشف عن مخاطر أمنية لمحطات التحويل في الذكاء الاصطناعي

نشرت مؤخرًا ورقة بحثية بعنوان «وكيلك هو لي» (Your Agent Is Mine)، وأحد مؤلفيها هو الشخص الذي كشف سابقًا عن حادثة تسريب رمز مصدر كاشف كود كلود، تشوفان شو.

هذه الورقة البحثية أول من قام بدراسة منهجية للتهديدات الأمنية لموجهات واجهات برمجة التطبيقات (API) الخاصة بالنماذج اللغوية الكبيرة (LLM)، والمعروفة باسم محطات التحويل، وكشفت أن هذه المحطات قد تصبح نقاط هجوم في سلسلة التوريد.

ما هي محطة التحويل في الذكاء الاصطناعي؟

نظرًا لأن استدعاء نماذج اللغة الكبيرة يستهلك عددًا كبيرًا من الرموز، مما يؤدي إلى تكاليف حسابية عالية، فإن محطات التحويل تساعد العملاء على توفير التكاليف بشكل كبير من خلال التخزين المؤقت للأسئلة والسياقات المتكررة.

وفي الوقت نفسه، تمتلك محطات التحويل وظيفة توزيع نماذج بشكل تلقائي، حيث يمكنها وفقًا لصعوبة سؤال المستخدم، التبديل ديناميكيًا بين نماذج ذات معايير تسعير وأداء مختلفة، كما يمكنها التبديل تلقائيًا إلى نموذج احتياطي عند انقطاع الاتصال بالخادم الرئيسي، لضمان استقرار الخدمة بشكل عام.

محطات التحويل في الصين تحظى بشعبية خاصة، لأن البلاد لا يمكنها استخدام بعض منتجات الذكاء الاصطناعي الأجنبية مباشرة، بالإضافة إلى طلب الشركات على التوطين في الفوترة، مما يجعل محطات التحويل جسرًا مهمًا بين النماذج العليا والمطورين السفليين. تشمل منصات مثل OpenRouter و SiliconFlow، وهي من فئة هذه الخدمات.

ومع ذلك، فإن محطات التحويل التي تبدو منخفضة التكاليف وسهلة الاستخدام، تخفي وراءها مخاطر أمنية كبيرة.

مصدر الصورة: الورقة البحثية تكشف عن مخاطر هجمات سلسلة التوريد على محطات التحويل في الذكاء الاصطناعي

محطات التحويل في الذكاء الاصطناعي تمتلك صلاحيات كاملة، وتصبح ثغرة في سلسلة التوريد

تشير الورقة إلى أن محطات التحويل تعمل على طبقة تطبيقات الشبكة، ولديها القدرة على قراءة البيانات النصية الواردة بصيغة JSON بشكل كامل وواضح خلال عملية النقل.

نظرًا لغياب التحقق من تكامل التشفير من طرف إلى طرف بين العميل ومزود النموذج، يمكن لمحطة التحويل بسهولة فحص وتعديل مفاتيح API، أوامر التوجيه، ومعلمات إخراج النموذج.

وأشارت فريق البحث إلى أنه في مارس 2026، تعرض موجه OpenSource المعروف LiteLLM لهجوم تداخل الاعتمادية، مما سمح للمهاجمين بحقن برمجيات خبيثة في مسار معالجة الطلبات، مما يبرز هشاشة هذا الجزء.

• تقرير ذات صلة: ملخص هجوم LiteLLM: كيف تتحقق من صحة المحافظ المشفرة والمفاتيح السحابية؟

اختبارات عشرات محطات التحويل أظهرت وجود سلوك خبيث

قام فريق البحث بشراء 28 محطة تحويل مدفوعة من منصات مثل توباو (Taobao)، شيانيو (Xianyu)، وشوبفاي (Shopify)، وجمع 400 محطة مجانية من مجتمعات عامة لإجراء اختبارات معمقة، ونتائج الاختبار أظهرت أن 1 من المحطات المدفوعة و8 من المحطات المجانية تزرع برمجيات خبيثة بشكل نشط.

وفي عينات المحطات المجانية، حاول 17 منها استخدام شهادات AWS التي أعدها الباحثون، وواحد منها سرق العملات المشفرة من محفظة إيثريوم الخاصة بهم.

وأظهرت البيانات أن مجرد إعادة استخدام الشهادات المسربة من قبل مزودين خارجيين، أو توجيه المرور إلى نقاط أضعف في الحماية، يمكن أن يجعل حتى المحطات التي تبدو طبيعية عرضة للهجمات.

وفي اختبار التسمم، وجد الفريق أن هذه النقاط المتضررة تعاملت مع أكثر من 2.1 مليار رمز Token، وكشفت عن 99 شهادة حقيقية في 440 جلسة، وأن 401 من هذه الجلسات كانت تعمل بشكل مستقل تمامًا، مما يتيح للمهاجمين حقن حمولة خبيثة بسهولة ودون الحاجة إلى شروط تشغيل معقدة.

مصدر الصورة: الورقة البحثية أظهرت أن أكثر من 400 محطة تحويل خضعت للاختبار، ووجدت أن عشرات منها تتصرف بشكل خبيث

أربعة أساليب هجوم رئيسية مكشوفة

صنفت الورقة سلوكيات الهجوم من قبل محطات التحويل الخبيثة إلى فئتين رئيسيتين واثنين من أنواع التهرب التكيفية.

• هجمات حقن الحمولة: بعد أن يعيد النموذج في الطرف العلوي نتائج، تقوم محطة التحويل بسرقة أو تعديل معلمات استدعاء الأدوات، مثل استبدال عنوان URL شرعي بخادم يسيطر عليه المهاجم، مما يؤدي إلى تنفيذ برمجيات خبيثة على العميل.
• هجمات تسريب المعلومات: تقوم المحطة بالتنصت على حركة المرور المارة، وتسرق مفاتيح API، وشهادات AWS، ومفاتيح إيثريوم الخاصة، وغيرها من المعلومات الحساسة.

وللتملص من أدوات الكشف الأمني التقليدية، طور المهاجمون تقنية استهداف الاعتمادية، وهي تعديل أوامر تثبيت الحزم البرمجية بحيث يتم استبدال الحزم الشرعية بأخرى خبيثة منشورة على المستودعات العامة، لبناء باب خلفي دائم في نظام الهدف.

طريقة أخرى تعتمد على الشروط، حيث يتم تفعيل السلوك الخبيث فقط عند استيفاء شروط معينة، مثل تجاوز عدد الطلبات 50 مرة، أو اكتشاف أن النظام يعمل بشكل مستقل تمامًا (وضع YOLO)، مما يساعد على التملص من فحوصات الأمان المحدودة.

ثلاث تدابير دفاعية ممكنة

لمواجهة هجمات سلسلة التوريد على محطات التحويل في الذكاء الاصطناعي، اقترحت الورقة ثلاث استراتيجيات دفاعية:

• تطبيق سياسات على الأدوات عالية الخطورة: من خلال فحص ومنع أوامر تثبيت النطاقات أو الحزم غير المصرح بها، يمكن لهذا النظام أن يمنع معظم هجمات حقن الحمولة بدقة تصل إلى 99% مع معدل أخطاء بنسبة 1%.
• آلية تصنيف الشذوذ على الطرف المستقبل: يمكنها تحديد 89% من العينات الخبيثة مع معدل أخطاء بنسبة 6.7%، مما يساعد المطورين على إجراء مراجعة يدوية أكثر فعالية.
• سجلات الشفافية الإضافية: على الرغم من أنها لا تمنع الهجمات، إلا أنها تحفظ هاش الطلبات والاستجابات، مما يسهل تتبع الحوادث وتقييم الأضرار عند وقوعها.

دعوة لمزودي النماذج العليا لإنشاء آليات تحقق تعتمد على التشفير

رغم أن التدابير الدفاعية على جانب العميل تقلل من بعض المخاطر، إلا أنها لا تحل مشكلة التحقق من هوية المصدر بشكل جذري. طالما أن التعديلات على محطات التحويل لا تثير إنذارات أمنية، يمكن للمهاجمين تعديل البرمجيات بسهولة والتسبب في أضرار.

ولضمان أمان نظام الذكاء الاصطناعي بشكل كامل، يجب أن تعتمد الشركات المزودة للنماذج على آليات تحقق تعتمد على التشفير، بحيث يتم ربط نتائج النموذج والأوامر النهائية التي ينفذها العميل بشكل مشفر، لضمان سلامة البيانات من النهاية إلى النهاية، ومنع سلسلة التوريد من التلاعب بالبيانات.

قراءات إضافية:
استخدام OpenAI لـ Mixpanel يسبب تسريب بيانات المستخدمين! احذر من رسائل التصيد الاحتيالي

خطأ في النسخ واللصق يسبب اختفاء 50 مليون دولار! كيف يمكن الوقاية من عمليات الاحتيال عبر عناوين التشفير؟