
بينما يتسابق المطورون لنشر وكلاء الذكاء الاصطناعي القادرين على تصفح الإنترنت، وإجراء الأبحاث، والتسوق عبر الإنترنت، وتداول العملات المشفرة بشكل مستقل، تشير الأبحاث الجديدة إلى أن هذه الأنظمة تظل عرضة بشكل كبير لهجمات حقن الأوامر.
في دراسة جديدة نُشرت يوم الخميس، وجد باحثون من جامعة نانيانغ التكنولوجية، وST Engineering، وIBM Research، وجامعة إلينوي أوربانا-شامبين، أن أياً من وكلاء الذكاء الاصطناعي الذين اختبروهم لم يقاوم هجمات حقن الأوامر بشكل ثابت.
كتب الباحثون: "تعتمد معايير الأمان الحالية منظوراً يركز على الهجوم، مع التركيز على الجدوى التقنية لعمليات الحقن مع إغفال التوزيع الدقيق للأضرار الناتجة. ولكن في الممارسة العملية، فإن خطر حقن الأوامر يعتمد على الضحية: فاستغلال واحد يمكن أن ينتج عنه عواقب غير متماثلة لأصحاب المصلحة المختلفين، وقد يُظهر نمط الهجوم نفسه فعالية مختلفة جوهرياً اعتماداً على من يستهدفه".
يحدث حقن الأوامر عندما يدمج المهاجمون تعليمات مخفية في المحتوى الذي يصادفه وكيل الذكاء الاصطناعي، مما يجعله يتبع توجيهات المهاجم بدلاً من توجيهات المستخدم. لمعالجة الثغرات في تقييمات وكلاء الذكاء الاصطناعي الحالية، طور الباحثون StakeBench، وهو معيار يختبر كيفية استجابة وكلاء الذكاء الاصطناعي لهجمات حقن الأوامر في بيئات الإنترنت الواقعية.
كتب الباحثون: "نحن الآن نستخدم StakeBench لتحديد الظروف التي يتم فيها تضخيم أو قمع هذه الثغرة الأمنية، مع التركيز على [حقن الأوامر غير المباشر] كقناة رئيسية ذات صلة بالنشر." "يستكشف StakeBench ثلاثة عوامل من هذا القبيل: المسافة الدلالية بين الهدف المحقون ونية المستخدم الأصلية، واتساق الإشارات البيئية المحيطة، والموضع على طول مسار تنفيذ الوكيل الذي يعرضه المعيار لأول مرة للمحتوى المحقون".
أجرى الفريق 3,168 محاكاة للهجوم باستخدام NanoBrowser وBrowserUse مع GPT-5 وGemini 2.5-Flash. ووجد الباحثون أن هجمات حقن الأوامر المباشرة نجحت في أكثر من 79% من الحالات عبر جميع التكوينات المختبرة، وحققت الهجمات غير المباشرة معدلات نجاح تتراوح من 41.67% إلى 68.16%.
تأتي هذه الدراسة في الوقت الذي تتزايد فيه هجمات حقن الأوامر وتنتشر وكلاء الذكاء الاصطناعي.
في فبراير، حذر باحثو مايكروسوفت من أن التعليمات المخفية المضمنة في روابط ملخصات الذكاء الاصطناعي يمكن أن تؤثر على سلوك الروبوتات الدردشة. وفي أبريل، وثقت جوجل هجمات حقن أوامر مخفية في صفحات الويب حاولت التلاعب بوكلاء الذكاء الاصطناعي لتسريب بيانات الاعتماد أو إرسال المدفوعات. وفي الآونة الأخيرة، كشفت مايكروسوفت عن ثغرة أمنية في حقن الأوامر في Claude Code GitHub Action من Anthropic كان من الممكن أن تكشف عن بيانات اعتماد المستخدم.
كما حددت الدراسة ما أسماه الباحثون "التطفل الخفي" (stealthy parasitism)، حيث يكمل وكيل الذكاء الاصطناعي مهمة المستخدم بينما يدفع في الوقت نفسه هدف المهاجم. على سبيل المثال، يمكن أن يؤثر التطفل الخفي الناتج عن هجوم حقن الأوامر بشكل خفي على توصيات المنتجات، ويوجه المستخدمين نحو عنصر معين دون أي علامات واضحة على تعرض النظام للاختراق.
كتبوا: "تشير هذه النتائج إلى أن أمان حقن الأوامر في وكلاء الويب القابلين للنشر ليس خاصية قياسية للنموذج الأساسي، بل هو توزيع للضرر يتحدد تحقيقه بشكل مشترك من قبل صاحب المصلحة المتأثر، والمواءمة الدلالية بين الهدف المحقون ومهمة المستخدم، والسياق المعماري الذي يتم فيه نشر النموذج الأساسي".