تواجه بيئات التطوير المؤتمتة نمطاً مستجداً من التهديدات السيبرانية، حيث يمكن استدراج وكلاء البرمجة المعتمدين على الذكاء الاصطناعي لتنفيذ برمجيات خبيثة عبر مستودعات GitHub تبدو سليمة ظاهرياً، وخالية تماماً من أي شيفرات مشبوهة قد ترصدها أدوات الفحص التقليدية.
كشفت نتائج بحثية، نشرتها Mozilla Zero Day Investigative Network (0DIN)، عن أسلوب هجومي يعتمد على استغلال سلوك الوكيل الذكي عند التعامل مع الأخطاء. تبدأ هذه السلسلة عندما يتضمن المستودع ملفات إعداد اعتيادية وحزمة Python مصممة لتفشل عمداً عند التشغيل الأول.
عند الفشل، تظهر رسالة خطأ تطلب تنفيذ أمر تهيئة يبدو مشروعاً، فيتعامل الوكيل مع الرسالة كسياق طبيعي وينفذ الأمر تلقائياً لإصلاح المشكلة. يقود هذا الأمر لاحقاً إلى سكريبت يسحب قيمة مخزنة في سجل DNS TXT خاضع للمهاجم، ويشغلها مباشرة كأمر نظام. وبنجاح هذا المسار، يحصل المهاجم على صلاحيات المطور، تتيح له الوصول إلى متغيرات البيئة، والمفاتيح البرمجية، وملفات الضبط، وتأسيس وجود دائم داخل النظام.
وقد امتدت المخاطر إلى طريقة معالجة الوكلاء للملفات النصية ورسائل الأخطاء. ووفقاً لمذكرة بحثية صادرة عن Cloud Security Alliance (CSA)، تمثل ملفات مثل README وملفات القواعد والإعدادات سطح هجوم مؤكداً لحقن التعليمات غير المباشر. وتتأثر بهذا النمط منصات بارزة مثل GitHub Copilot وCursor وClaude Code وWindsurf، حيث ينشأ هذا الخلل من قرار معماري شائع يعامل الملفات داخل المستودع كتعليمات موثوقة ذات أثر تنفيذي يقترب من أوامر النظام.
وفي السياق نفسه، حذرت مذكرة أخرى لـ Cloud Security Alliance، من أن دمج الوكلاء البرمجيين في خطوط بناء وتشغيل البرمجيات (CI/CD) يخلق ثغرة بنيوية تجمع بين مفسر نصوص غير موثوق وصلاحيات تنفيذ مرتفعة. وفي هذا النموذج، لا يحتاج المهاجم بالضرورة إلى صلاحيات كتابة على المستودع، بل يكفيه إدخال بيانات غير موثوقة، مثل عنوان Issue أو محتواه، إذا كان الوكيل يعالج هذه البيانات ويمنحها وزناً تنفيذاً.
