أعادت شركة Microsoft فتح ملف شائك في مجتمع الأمن السيبراني، وذلك بعد تقليلها من خطورة بلاغات تقنية تتعلق بآلية عمل مساعدها الذكي Copilot. واعتبرت الشركة أن ما وصفه باحثون بحقن الأوامر (Prompt Injection) وسلوكيات النظام داخل البيئات المعزولة، لا يرقى لتصنيفه كثغرات أمنية تستوجب المعالجة الفورية، بل هي مجرد حدود تقنية طبيعية في عمل النماذج اللغوية، طالما أنها لم تتجاوز الحدود الأمنية المرسومة أو تؤدي لسرقة بيانات.
ويأتي هذا الموقف ليعمق الفجوة القائمة بين الباحثين والشركات التقنية حول سؤال محوري: هل يعد عجز الذكاء الاصطناعي عن الفصل بين التعليمات البرمجية والبيانات المدخلة ثغرة أمنية تقليدية؟ أم أنه واقع تقني جديد يتطلب إدارة المخاطر بدلاً من البحث عن حلول جذرية قد لا تكون موجودة؟
بين البلاغات المرفوضة ومعايير الخدمة
بدأ الفصل الجديد من هذا الجدل عندما كشف مهندس الأمن السيبراني جون رسل عن رفض Microsoft لأربعة بلاغات تقدم بها تتعلق بـ Copilot، حيث أغلقت الشركة الملفات تحت بند غير مؤهلة للخدمة. ووفقاً للتقارير، تضمنت اكتشافات رسل حالات حقن أوامر مباشر وغير مباشر أدت إلى كشف تعليمات النظام التي تحكم سلوك المساعد، بالإضافة إلى التحايل على سياسات رفع الملفات وتمريرها بصيغ مشفرة، وصولاً إلى تنفيذ أوامر داخل بيئة Linux معزولة مرتبطة بجلسة المحادثة.
وفي الوقت الذي يرى فيه قطاع واسع من الباحثين أن هذه السلوكيات تشير إلى ضعف في التحقق من المدخلات، مقارنين ذلك بأداء مساعدين منافسين مثل Claude، ترى Microsoft المشهد من زاوية مغايرة؛ حيث أكد متحدث باسمها أن الحالات المذكورة لم تتجاوز أي حدود أمنية، وظل أثرها محصوراً في بيئة المستخدم نفسه دون الوصول إلى امتيازات أعلى، ما يخرجها من نطاق الثغرة الأمنية بمفهومها التقليدي.
متى يتحول السلوك إلى خطر؟
يستند موقف عملاق التقنية إلى وثيقة تصنيف الثغرات الخاصة به (MSRC)، التي تضع هجمات حقن الأوامر ضمن خانة التلاعب بالاستدلال. ووفقاً لهذا التصنيف، لا يعد الهجوم ثغرة إلا إذا توفر فيه شرط الأثر الأمني الملموس، مثل:
- تسريب بيانات مستخدمين آخرين.
- تنفيذ إجراءات حساسة بالنيابة عن المستخدم دون تدخله (Zero-click).
أما مجرد استخراج تعليمات النظام أو دفع النموذج لقول أشياء غير مرغوبة، فلا يعد ثغرة بحد ذاته. ويوضح هذا المعيار الفلسفة التي تتبناها الشركة: السلوك الغريب للذكاء الاصطناعي مقبول ما لم يؤذ طرفاً ثالثاً أو يخترق حاجزاً أمنياً صلباً. والدليل على ذلك تعامل الشركة بجدية مع ثغرة EchoLeak في يونيو 2025، حيث سارعت لإصلاحها وتصنيفها حرجة لأنها أدت بالفعل لتسريب بيانات دون تفاعل المستخدم.
منظور المؤسسات الدولية وإدارة المخاطر
على الصعيد الدولي، تتبنى منظمات مثل OWASP موقفاً أكثر حذراً، حيث تصنف حقن الأوامر كواحدة من أعلى المخاطر، مشيرة إلى إمكانية تطورها لتجاوز الضوابط أو إساءة استخدام الوظائف، خاصة في الأنظمة التي تمتلك صلاحيات تنفيذية.
ويتناغم هذا الطرح مع تحذيرات المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC)، الذي أشار إلى أن مشكلة تداخل البيانات مع التعليمات في النماذج اللغوية قد تظل مخاطرة متبقية لا يمكن القضاء عليها تماماً. وهذا يفرض على المؤسسات التحول من عقلية الإصلاح النهائي إلى عقلية الحد من الأثر عبر التصميم الآمن والتشغيل المراقب.
