
كشفت دراسة أمنية جديدة عن ثغرة مقلقة وغير متوقعة في أدوات البرمجة المعتمدة على الذكاء الاصطناعي (AI Coding Assistants).
حيث نجح فريق من الباحثين في إخفاء تعليمات برمجية خبيثة داخل ملف صورة عادي بصيغة PNG وتكمن الخطورة في تعامل المساعد البرمجي الذكي مع هذه الصورة على أنها أوامر شرعية وواجبة النفاذ، بالرغم من أن الصورة تبدو طبيعية تماماً للعين البشرية ولأدوات الفحص التقليدية.
وتسلط هذه التجربة الضوء على جيل جديد من الهجمات السيبرانية يُعرف باسم “حقن الأوامر غير المباشر” (Indirect Prompt Injection)، والذي يستهدف طريقة تفسير ومعالجة نماذج الذكاء الاصطناعي للملفات المختلفة والوسائط المتعددة، وليس البنية الأساسية للنموذج نفسه.
تعليمات خفية داخل Pull Request: كيف تمر الصورة دون إثارة الشكوك؟
أجرى هذه التجربة المثيرة كل من الأستاذ سوديبتا تشاتوبادياي والباحث مورالي إديجا؛ حيث قاما بإخفاء أوامر خبيثة داخل ملف صورة أُرفق بطلب مراجعة وتعديل برمجية (Pull Request).
ولأن العديد من أدوات مراجعة الأكواد المدعومة بالذكاء الاصطناعي مبرمجة على التعامل مع الصور باعتبارها عناصر زخرفية وتوضيحية لا تستحق الفحص الأمني الدقيق، مرت الصورة بسلاسة دون إثارة أي شكوك.
وفي المقابل، استطاع الذكاء الاصطناعي عبر قدرات المعالجة البصرية قراءة التعليمات المضمنة بذكاء داخل أجزاء الصورة المخفية والبدء في استيعابها تمهيداً للمراحل التالية من الهجوم.
الهجوم المؤجل: كيف يستغل المخترقون المساعد البرمجي لسرقة البيانات؟
المثير والخبيث في هذا الأسلوب الاختراقي أن الهجوم لا يُفعّل مباشرة بمجرد قبول التعديلات البرمجية في المشروع. وبدلاً من ذلك، ينتظر الكود الخفي حتى يقوم المطور لاحقاً باستخدام المساعد البرمجي للذكاء الاصطناعي لتنفيذ مهمة اعتيادية ومختلفة تماماً، مثل إنشاء دالة جديدة (Function) أو إضافة وحدة برمجية للمشروع.
عند هذه النقطة، يكون المساعد الذكي قد استوعب مسبقاً التعليمات المخفية المستوحاة من الصورة، ليبدأ دون علم المستخدم في الوصول إلى ملفات حساسة داخل المشروع، ثم يقوم بدمج البيانات السرية المستهدفة داخل الشيفرة البرمجية الجديدة التي يطلبها المطور.
ولضمان عدم كشف العملية، يتم إخفاء البيانات المسروقة بهيئة قيم أو متغيرات (Variables) تبدو طبيعية جداً، مما يصعّب اكتشافها من قِبل المطورين أو أدوات الفحص الأمني التقليدية.
المشكلة في البيئة البرمجية وليست في روبوتات الدردشة
أظهرت الدراسة الأمنية أن نجاح الهجوم لا يعتمد على نموذج الذكاء الاصطناعي المستخدم (سواء كان GPT أو Claude أو غيرهما)، بل على الأداة أو المنصة البرمجية التي توظفه وتحدد صلاحياته. وفي بعض الحالات التجريبية، استجابت أدوات البرمجة تلقائياً للتعليمات المخفية، بينما تمكنت أدوات أخرى متطورة من اكتشاف السلوك المشبوه ورفضت تنفيذ الأوامر.
ويشير ذلك إلى أن الخطر الحقيقي يرتبط بالطريقة التي تحدد بها منصات البرمجة والبيئات التطويرية (IDEs) الملفات التي يمكن الوثوق بها، والحدود المسموح بها للوصول إلى محتويات ومكونات المشروع المختلفة.
كيف يمكن الحد من خطر Prompt Injection وتحصين المشاريع؟
يرى الباحثون أن الحل الجذري لهذه الثغرة يكمن في تطوير أدوات مراجعة الأكواد الذكية لتصبح متعددة الوسائط (Multimodal) بشكل حقيقي وصارم؛ بحيث تتعامل مع الصور، والوثائق، وملفات الإعدادات (Configuration Files) بنفس مستوى التدقيق الأمني الصارم الذي تطبقه على الشيفرة المصدرية (Source Code).
فإذا كان الذكاء الاصطناعي يمتلك القدرة على قراءة محتوى الصور وتفسيره، فيجب تسليحه أيضاً بالقدرة على إدراك أن هذه الصور قد تحتوي على فخاخ وتعليمات خبيثة تهدف إلى التلاعب به واختراق خصوصية المشروع.
وتؤكد الدراسة أنه بالرغم من قدرة هذه الأدوات على تسريع التطوير، إلا أن الاعتماد الكامل عليها دون مراجعة بشرية دقيقة (Human-in-the-loop) يمثل مخاطرة جسيمة؛ فالتهديد القادم قد لا يكون مخفياً بين آلاف أسطر البرمجة، بل داخل صورة بسيطة بريئة.




