وضعت التقارير الأمنية الصادرة في الثامن والتاسع من يناير 2026 منصة ChatGPT تحت مجهر النقد التقني، بعد الكشف عن سلسلة من الثغرات النوعية التي تستهدف بنيتها التشغيلية، وتحديداً وظائف الموصلات وميزة الذاكرة. وتكمن خطورة هذه الثغرات في قدرتها النظرية على تحويل جلسة حوار عادية إلى قنطرة غير مرئية لاستنزاف البيانات من خدمات حيوية مثل Gmail وOutlook وGitHub، دون أن يدرك المستخدم أن النموذج بات ينفذ أجندة خارجية أقحمت في سياق المحادثة.
تستند استراتيجية الهجوم المكتشفة إلى مفهوم حقن الأوامر غير المباشر (Indirect Prompt Injection)، حيث يتم دمج تعليمات خفية داخل رسائل بريد إلكتروني أو ملفات مشتركة تبدو في ظاهرها اعتيادية. وبمجرد قيام النموذج بمعالجة هذه البيانات، تفعل الأوامر المبطنة التي تمنح المهاجم صلاحية الوصول إلى محتويات الموصلات المرتبطة بالحساب، بما في ذلك المستندات المخزنة على Google Drive وOneDrive، وسجلات المشاريع في Jira، وقواعد البيانات البرمجية في GitHub، قبل أن يتم تهريبها إلى خوادم خارجية عبر تقنيات التفافية معقدة تتجاوز بروتوكولات الحماية التقليدية.
أنماط الاستهداف: من التسلل الصامت إلى العدوى الذاتية
صنف الخبراء الأمنيون في تقرير Radware هذه الهجمات إلى 4 مستويات تتفاوت في درجة تعقيدها وتأثيرها:
- هجوم الجانب الخادمي صفر نقرة: وهو النمط الأكثر خطورة، حيث يكفي إرسال بريد خبيث للمستهدف؛ وبمجرد أن يطلب المستخدم من الذكاء الاصطناعي تلخيص بريده أو البحث عن معلومة، يقرأ النموذج التعليمات المخفية وينفذ عملية التسريب فوراً قبل أن يرى المستخدم محتوى الرسالة أصلاً.
- تسميم الذاكرة والاستمرارية: لا تكتفي بعض الهجمات بالسرقة اللحظية، بل تزرع قواعد دائمة في ذاكرة النموذج لضمان استمرارية تسريب البيانات في كل محادثة مستقبلية، محولة ميزة التخصيص إلى أداة تجسس مقيمة.
- التفشي الشبكي (الانتشار الذاتي): رصد الباحثون قدرة هذه الهجمات على إعادة إنتاج نفسها؛ إذ يمكن للأوامر الخبيثة توجيه النموذج لاستخراج عناوين جهات الاتصال وإرسال حمولات مشابهة إليها، لخلق موجة انتشار داخل المؤسسة الواحدة تشبه في سلوكها الدودة المعلوماتية.
ولتمرير هذه الأوامر، استغل المهاجمون قدرة النموذج على رصد النصوص التي لا تراها العين البشرية، مثل استخدام الخطوط المجهرية أو الكتابة باللون الأبيض فوق خلفية بيضاء، بالإضافة إلى ابتكار حيلة الروابط الجاهزة حرفاً بحرف لتجاوز قيود OpenAI التي تمنع تعديل الروابط ديناميكياً، وذلك عبر استدعاء سلسلة من الروابط المعدة مسبقاً لترميز البيانات المسربة.
ما وراء التحديثات الأمنية
على الرغم من إعلان OpenAI عن سد هذه الثغرات وتطبيق إصلاحات شاملة في ديسمبر 2025، إلا أن الواقع التقني يشير إلى أن حقن الأوامر يمثل تحدياً بنيوياً مستمراً مع تطور وكلاء الذكاء الاصطناعي، وليس مجرد خلل عابر يمكن إنهاؤه بتحديث واحد. إن إقحام محتوى غير موثوق في سياق معالجة النماذج يظل الثغرة الأبرز التي تحاول الشركات الكبرى معالجتها عبر تدريب نماذج متخصصة في مقاومة الخداع.
وبناءً على ذلك، تبرز ضرورة تبني استراتيجية أمنية صارمة داخل المؤسسات، ترتكز على القواعد التالية:
- مبدأ الامتياز الأدنى: حصر تفعيل الموصلات على الخدمات الضرورية فقط، مع تعطيل الوصول إلى مستودعات الشفرات والبريد في الحالات غير الملحة.
- إدارة الذاكرة السيادية: تقييد ميزة Memory في بيئات العمل الحساسة لمنع تخزين أسرار المهنة أو البيانات التعريفية لفترات طويلة.
- الفصل الوظيفي: استخدام وكلاء الذكاء الاصطناعي في المهام الإبداعية والتحليلية العامة، مع تجنب إقحامهم في العمليات الحساسة مثل الموافقات المالية أو إدارة كلمات المرور.
