أدت ثغرة تصميمية في بروتوكول MCP (Model Context Protocol) إلى حالة من القلق في أوساط أمن الذكاء الاصطناعي. ويُعد هذا البروتوكول، الذي أطلقته شركة Anthropic في نوفمبر 2024، حلاً واسع الانتشار لربط تطبيقات الذكاء الاصطناعي بالأدوات ومصادر البيانات الخارجية. وبسبب الاعتماد المتزايد عليه كطبقة تكامل معيارية، أصبحت نقاط الضعف في بنيته الأساسية تهديداً يمتد ليشمل كافة التطبيقات والخدمات المرتبطة به، وهو تحدٍ تفرضه طبيعة التكامل بين النماذج اللغوية الكبيرة والبيانات.
تتمثل المشكلة التقنية في آلية عمل واجهة STDIO المحلية التابعة لبروتوكول MCP، وهي الواجهة المسؤولة عن تدفقات الإدخال والإخراج القياسية في نظام التشغيل، وتسمح هذه الآلية بتمرير أوامر إلى نظام التشغيل دون إخضاعها لعمليات تنقية كافية.
وتزداد خطورة هذا الخلل البنيوي في إمكانية تنفيذ الأوامر حتى في حال فشل العملية المرتبطة بها، ما يتيح تشغيل تعليمات برمجية خبيثة دون ظهور مؤشرات صريحة داخل بيئة التطوير. ويؤدي هذا القصور إلى توسيع نطاق استغلال الأنظمة، لا سيما ضمن بيئات العمل المؤسسية التي تعتمد على تشغيل خوادم MCP محلياً.
مخاطر التوسع المعياري وانتقال الثغرات عبر سلاسل التوريد
يتحول بروتوكول MCP إلى ركيزة أساسية لربط نماذج الذكاء الاصطناعي بالأدوات الخارجية، من خلال بنية تقنية تجمع بين المضيفين والعملاء والخوادم. ويؤدي هذا الانتشار الواسع إلى انتقال أي خلل هيكلي تلقائياً إلى المكتبات والتطبيقات التي تعتمد على الشيفرة المرجعية للبروتوكول. وتعتمد الشركات على MCP محلياً لتجنب تعقيدات تطوير موصلات بيانات مخصصة، حيث يستخدم مزودو الخوادم شيفرة Anthropic الأصلية أو نسخاً مشتقة منها. وبحسب شركة OX Security، فإن هذا الخلل يتجاوز كونه خطأً برمجياً بسيطاً، ليصنف كعيب معماري يمس سلامة سلاسل التوريد البرمجية الخاصة بالذكاء الاصطناعي.
تتعدد التأثيرات المحتملة لهذا الضعف لتشمل سيناريوهات بالغة الحساسية، أبرزها الاستيلاء على البيانات الداخلية، وسرقة مفاتيح (API)، بالإضافة إلى تسريب سجلات المحادثات.
كما تبرز مخاطر تثبيت برمجيات ضارة في الخفاء عبر استغلال العمليات الفاشلة، وهو مسار قد يؤدي إلى السيطرة الكاملة على النظام المحلي. ورغم أن جهود الإفصاح المنسق أسفرت عن تقديم أكثر من 30 بلاغاً أمنياً ومعالجة ما يزيد عن 10 ثغرات حرجة، إلا أن التحدي المرتبط بالعيب البنيوي الأساسي لا يزال قائماً دون حل جذري حتى الآن.
تسميم الأدوات ونماذج الهجوم المتقدمة في بيئة الذكاء الاصطناعي
تُظهر أبحاث أمن المعلومات أنماطاً متقدمة من التهديدات، مثل هجمات تسميم الأدوات التي حذرت منها Invariant Labs. تعتمد هذه الهجمات على زرع تعليمات خفية ضمن الأوصاف النصية للأدوات في خوادم MCP، حيث تظل مستترة عن المستخدم بينما يراها نموذج الذكاء الاصطناعي، ما يوجهه للقيام بأفعال غير مصرح بها؛ كقراءة الملفات الحساسة أو التأثير في سلوك الوكيل البرمجي.
وتتقاطع هذه المخاطر مع قائمة التهديدات الرسمية في وثيقة “أفضل الممارسات الأمنية” للبروتوكول، والتي تضم هجمات، مثل Confused Deputy وSSRF وSession Hijacking، وهي تهديدات تتطلب رقابة صارمة على مستويات التنفيذ والاتصال.
أكدت دراسة أكاديمية نُشرت على منصة arXiv في مارس 2026 أن تسميم الأدوات يمثل ثغرة رئيسية في جانب العميل ضمن منظومة MCP. وباستخدام مناهج تحليل التهديدات STRIDE وDREAD، أثبتت الدراسة وجود ضعف في عمليات التحقق من البيانات لدى معظم العملاء، ونقصاً في شفافية عرض المعلمات التقنية للمستخدمين.
وتبرز في هذا الصدد تساؤلات حول حدود الثقة المفترضة داخل البروتوكول، خاصة فيما يتعلق بتوزيع المسؤولية الأمنية؛ فبينما اعتبرت بعض الجهات هذا السلوك جزءاً من التصميم الأصلي، تصر OX Security على أن إلقاء عبء الحماية كاملاً على المطورين يمثل خللاً هيكلياً يزيد من مساحة التعرض للهجمات في بيئات التطوير المستمرة.
