لا تزال تشتري محطة تحويل الذكاء الاصطناعي على توباو؟ منسق تسريب شفرة Claude: تم تسميم العشرات على الأقل

كشف أحدث دراسة عن تسريب رمز مصدر كاشف كلوود، أن محطات التحويل في الذكاء الاصطناعي المخفية تحمل مخاطر أمنية. أظهرت الاختبارات أن بعض المحطات تسرق الشهادات، المفاتيح الخاصة للمحافظ أو تInject برمجيات خبيثة، مما يجعلها نقاط هجوم على سلسلة التوريد.

كاشف كلوود عن تسريب رمز المصدر، يكشف عن مخاطر أمنية لمحطات التحويل في الذكاء الاصطناعي

نشرت مؤخرًا ورقة بحثية بعنوان «وكيلك هو لي» (Your Agent Is Mine)، وأحد مؤلفيها هو الشخص الذي كشف سابقًا عن حادثة تسريب رمز مصدر كلوود، تشوفان شو.

هذه الورقة البحثية أول مرة تدرس بشكل منهجي التهديدات الأمنية لموجهات واجهات برمجة التطبيقات (API) الخارجية لنماذج اللغة الكبيرة (LLM)، والمعروفة باسم محطات التحويل، وكشفت أن هذه المحطات قد تصبح نقاط هجوم على سلسلة التوريد.

ما هو محطة التحويل في الذكاء الاصطناعي؟

نظرًا لأن استدعاء نماذج اللغة الكبيرة يستهلك عددًا كبيرًا من الرموز، ويؤدي إلى تكاليف حساب عالية، فإن محطات التحويل يمكنها من خلال التخزين المؤقت تكرار خلفية الأسئلة، مما يساعد العملاء على تقليل التكاليف بشكل كبير.

وفي الوقت نفسه، تمتلك محطات التحويل وظيفة توزيع نماذج تلقائية، حيث يمكنها وفقًا لصعوبة سؤال المستخدم، التبديل ديناميكيًا بين نماذج ذات معايير تسعير وأداء مختلفة، كما يمكنها عند انقطاع خادم نموذج واحد، التبديل تلقائيًا إلى نموذج احتياطي لضمان استقرار الخدمة بشكل عام.

محطات التحويل في الصين تحظى بشعبية خاصة، لأن البلاد لا يمكنها استخدام منتجات الذكاء الاصطناعي الأجنبية مباشرة، ومع تزايد الطلب على التوطين في الفوترة، أصبحت محطات التحويل جسرًا مهمًا بين النماذج العليا والمطورين السفليين. تشمل منصات مثل OpenRouter و SiliconFlow، وتندرج ضمن خدمات هذا النوع.

ومع ذلك، فإن محطات التحويل التي تبدو منخفضة التكاليف وسهلة الاستخدام، تخفي وراءها مخاطر أمنية هائلة.

مصدر الصورة: الورقة البحثية تكشف عن مخاطر هجمات سلسلة التوريد على محطات التحويل في الذكاء الاصطناعي

محطات التحويل في الذكاء الاصطناعي تمتلك صلاحيات كاملة، وتصبح ثغرة في سلسلة التوريد

تشير الورقة إلى أن محطات التحويل تعمل على طبقة التطبيق في بنية الشبكة، ولديها صلاحية كاملة لقراءة البيانات النصية الواضحة خلال عملية النقل، خاصة حمولة JSON.

نظرًا لغياب التحقق من تكامل التشفير من طرف إلى طرف بين العميل ومزود النموذج، يمكن لمحطة التحويل بسهولة فحص وتعديل مفاتيح API، أوامر التوجيه، ومعلمات ناتج النموذج، مما يعرض النظام للخطر.

وأشارت الدراسة إلى أن في مارس 2026، تعرض موجه الروتر المفتوح المصدر LiteLLM لهجوم تداخل الاعتمادية، مما سمح للمهاجمين بحقن برمجيات خبيثة في مسار الطلب، مما يبرز ضعف هذا الجزء.

• **تقرير ذات صلة: ملخص هجوم LiteLLM: كيف تتحقق من صحة المحافظ المشفرة والمفاتيح السحابية؟

اختبارات مئات من محطات التحويل أظهرت سلوكًا خبيثًا

قام فريق البحث بشراء 28 محطة تحويل مدفوعة من منصات مثل توباو (Taobao)، شيانيو (Xianyu)، وشوبفاي (Shopify)، وجمع 400 محطة مجانية من مجتمعات عامة لإجراء اختبارات معمقة، ونتائج الاختبار أظهرت أن 1 من المحطات المدفوعة و8 من المحطات المجانية تInject برمجيات خبيثة بشكل نشط.

وفي عينات المحطات المجانية، حاول 17 منها استخدام شهادات AWS التي أنشأها الباحثون، وواحد منها سرق عملة مشفرة من محفظة إيثريوم الخاصة بهم.

وأظهرت البيانات أن مجرد إعادة استخدام الشهادات المسربة من قبل محطات التحويل، أو توجيه المرور إلى نقاط ذات حماية أضعف، يمكن أن يجعل حتى المحطات التي تبدو طبيعية عرضة لنفس الهجمات.

وفي اختبار التسمم، وجد الفريق أن هذه النقاط المتضررة تعاملت مع أكثر من 2.1 مليار رمز Token، وكشفت عن 99 شهادة حقيقية في 440 جلسة، و400 جلسة كانت تعمل بشكل مستقل تمامًا، مما يتيح للمهاجمين حقن حمولة خبيثة بسهولة ودون الحاجة إلى شروط معقدة.

مصدر الصورة: الورقة البحثية أظهرت أن أكثر من 400 محطة تحويل، وأن العديد منها يظهر سلوكًا خبيثًا

أربعة أساليب هجوم رئيسية مكشوفة

تلخص الورقة أن سلوك الهجوم من قبل محطات التحويل الخبيثة ينقسم إلى فئتين رئيسيتين ونوعين من التهرب التكيفي.

• هجمات حقن الحمولة: بعد أن يعيد النموذج في الطرف العلوي النتائج، تقوم محطة التحويل سراً بتعديل معلمات استدعاء الأدوات، مثل استبدال عنوان URL شرعي بخادم يسيطر عليه المهاجم، مما يؤدي إلى تنفيذ برمجيات خبيثة على العميل.
• هجمات تسريب المعلومات: تقوم محطة التحويل عبر المسح السلبي لحركة المرور، باعتراض وسرقة مفاتيح API، شهادات AWS، ومفاتيح إيثريوم الخاصة، وغيرها من المعلومات الحساسة.

وللتملص من أدوات الكشف الأمني التقليدية، طور المهاجمون تقنية استهداف الاعتمادية، حيث يقومون بتعديل أوامر تثبيت الحزم البرمجية، واستبدال الحزم الشرعية بحزم خبيثة منشورة على السجلات العامة، أو ذات أسماء متشابهة، لبناء باب خلفي دائم في النظام المستهدف.

وتتمثل طريقة أخرى في أسلوب التسليم الشرطي، حيث يتم تفعيل السلوك الخبيث فقط تحت ظروف معينة، مثل تجاوز عدد الطلبات 50، أو اكتشاف أن النظام يعمل بشكل مستقل كامل (وضع YOLO)، لتجنب الاختبارات الأمنية المحدودة.

ثلاث تدابير دفاعية ممكنة

لمواجهة هجمات سلسلة التوريد المتمثلة في تسميم محطات التحويل، اقترحت الورقة ثلاث تدابير دفاعية:

• تطبيق سياسات على الأدوات عالية الخطورة: من خلال فحص ومنع أوامر تثبيت النطاقات أو الحزم غير المصرح بها، ويمكن لهذا النظام أن يمنع معظم هجمات حقن الحمولة بنسبة خطأ تصل إلى 1%.
• آلية تصنيف استجابة الطرف: التي يمكنها، مع معدل خطأ 6.7%، تمييز 89% من العينات الخبيثة، وتساعد المطورين على إجراء مراجعة يدوية.
• سجلات الشفافية الإضافية: على الرغم من أنها لا تمنع الهجمات، إلا أنها تحفظ تجزئات الطلبات والاستجابات، مما يسهل تتبع الحوادث وتقييم الأضرار عند وقوعها.

دعوة لمزودي النماذج العليا لإنشاء آليات تحقق تشفيرية

على الرغم من أن التدابير الدفاعية على جانب العميل تقلل من بعض المخاطر، إلا أنها لا تحل مشكلة التحقق من هوية المصدر بشكل جذري. طالما أن التعديلات على محطات التحويل لا تثير إنذارات أمنية، يمكن للمهاجمين بسهولة تغيير نية التنفيذ والتخريب.

ولضمان أمان نظام الذكاء الاصطناعي بشكل كامل، يجب أن تعتمد على مزودي النماذج في تقديم آليات تحقق تشفيرية للردود. فقط من خلال ربط نتائج النموذج والأوامر النهائية للتنفيذ بشكل مشفر، يمكن ضمان تكامل البيانات من الطرف إلى الطرف، والوقاية الشاملة من مخاطر التلاعب بسلسلة التوريد عبر محطات التحويل.

قراءات إضافية:
استخدام OpenAI لـ Mixpanel تسبب في تسريب بيانات بعض المستخدمين، احذر من رسائل التصيد الاحتيالي

خطأ في النسخ واللصق أدى إلى اختفاء 50 مليون دولار! عودة عمليات الاحتيال عبر عناوين التشفير، وكيفية الوقاية منها