تسميم الذاكرة: هجوم الذكاء الاصطناعي الذي يضرب بعد أسابيع من الحقن

عندما يتذكر وكلاء الذكاء الاصطناعي تعليمات خبيثة

تعيد فئة جديدة من ثغرات الذكاء الاصطناعي كتابة قواعد الأمن السيبراني. صنّفت قائمة OWASP العشرة الأولى للتطبيقات الوكيلة 2026، المطوَّرة مع أكثر من 100 خبير في القطاع، رسمياً تسميم الذاكرة والسياق كـ ASI06 — اعترافاً بأن إفساد السياق المخزَّن والتضمينات ومخازن RAG لوكيل ما يمكن أن يُحرّف بصمت جميع الاستدلالات والإجراءات المستقبلية.

يختلف التهديد جوهرياً عن حقن الأوامر. حقن الأوامر التقليدي مؤقت: يتلاعب بالجلسة الحالية ويختفي عند إغلاق المحادثة. أما تسميم الذاكرة فهو دائم. يزرع المهاجم تعليمات خبيثة في الذاكرة طويلة المدى لوكيل الذكاء الاصطناعي، حيث تنجو من إعادة تشغيل الجلسات وتحديثات البرامج وتبديل المستخدمين. تنشط الذاكرة المسمومة بعد أيام أو أسابيع عندما يُحفّزها تفاعل غير ذي صلة — استغلال “نائم” يجعل الإسناد الجنائي شبه مستحيل لأن الحقن والضرر منفصلان زمنياً.

Microsoft تكشف تسميم توصيات الذكاء الاصطناعي على نطاق واسع

في فبراير 2026، كشف فريق أبحاث أمن Microsoft Defender عن تقنية أسموها AI Recommendation Poisoning. خلال مراجعة لمدة 60 يوماً لعناوين URL المرتبطة بالذكاء الاصطناعي في حركة البريد الإلكتروني فقط، حدد الباحثون أكثر من 50 مثالاً مميزاً لهذا الهجوم قيد التشغيل الفعلي، منشوراً من قبل 31 شركة حقيقية عبر 14 قطاعاً.

تستغل التقنية آلية بسيطة: معظم مساعدي الذكاء الاصطناعي الرئيسيين يدعمون معلمات URL التي تملأ الأوامر مسبقاً. كانت الشركات تُدمج تعليمات مخفية في أزرار “لخّص بالذكاء الاصطناعي” التي عند النقر عليها تحقن أوامر استمرارية في ذاكرة المساعد الذكي عبر معلمات URL هذه. بمجرد التسميم، يعامل المساعد التعليمات المحقونة كتفضيلات مستخدم مشروعة، موجهاً التوصيات المستقبلية نحو منتجات وخدمات المهاجم عبر جميع المحادثات اللاحقة.

هذا ليس بحثاً نظرياً. كانت هذه شركات حقيقية تسلّح أنظمة ذاكرة الذكاء الاصطناعي لتحقيق مكاسب تجارية — ومعظم المستخدمين لم يكونوا يعلمون أن مساعدهم قد اخترُق.

البحث يُثبت معدلات نجاح حقن بنسبة 95%

أكد البحث الأكاديمي أن هجمات تسميم الذاكرة تحقق معدلات نجاح مقلقة في البيئات المُحكمة. أثبت هجوم MINJA (هجوم حقن الذاكرة)، الذي طوره باحثون في عدة جامعات، معدلات نجاح حقن تتجاوز 95% ضد وكلاء إنتاج مدعومين بـ GPT-4 وGPT-4o. حقق الهجوم معدلات نجاح تتجاوز 70% على معظم مجموعات بيانات التقييم.

ما يجعل MINJA خطيراً بشكل خاص هو سهولة الوصول إليه: لا يتطلب أي صلاحيات مرتفعة ويعمل عبر تفاعلات المستخدم العادية. يمكن لأي مستخدم إفساد قاعدة معرفة وكيل ذكاء اصطناعي، مؤثراً في كيفية معالجته للاستعلامات المستقبلية من جميع المستخدمين الآخرين — محولاً أنظمة الذكاء الاصطناعي متعددة المستأجرين إلى نواقل هجوم.

بنى Unit 42 من Palo Alto Networks إثبات مفهوم يُظهر كيف يمكن لحقن الأوامر غير المباشر عبر صفحة ويب مخترقة زرع تعليمات خبيثة في الذاكرة طويلة المدى لوكيل. نجت تلك التعليمات من إعادة تشغيل الجلسات وأُدمجت في أوامر تنسيق الوكيل في محادثات لاحقة، مستخلصة تاريخ المحادثات بصمت دون علم المستخدم.

أحدث بحث نُشر في أبريل 2026 قدّم eTAMP (تسميم ذاكرة الوكيل المبني على المسار المحقون بيئياً) — أول هجوم يحقق اختراقاً عابراً للجلسات والمواقع دون الحاجة لوصول مباشر للذاكرة. ملاحظة ملوثة واحدة، مثل مشاهدة صفحة منتج معدَّلة، تسمم ذاكرة الوكيل بصمت وتنشط أثناء مهام مستقبلية على مواقع مختلفة تماماً. وجدت الدراسة أن الوكلاء تحت ضغط بيئي (نقرات مفقودة، نص مشوش) يصبحون أكثر عرضة بما يصل إلى 8 أضعاف. والأهم أن النماذج الأكثر قدرة مثل GPT-5.2 أظهرت ثغرات كبيرة رغم أدائها المتفوق في المهام، مُحطمة الافتراض بأن النماذج الأفضل تعني أماناً أفضل.

واقع الـ 88%

تؤكد بيانات القطاع أن التهديد انتقل من مختبرات البحث إلى بيئات الإنتاج. وجد استطلاع Beam AI أن 88% من المؤسسات التي تستخدم وكلاء الذكاء الاصطناعي واجهت حادثاً أمنياً مؤكداً أو مشتبهاً به خلال العام السابق. في قطاع الرعاية الصحية، ارتفع هذا الرقم إلى 92.7%.

لكن الفجوة بين الثقة والواقع تبقى واسعة. بينما يعتقد 82% من المديرين التنفيذيين أن سياساتهم الحالية تحميهم من الإجراءات غير المصرح بها للوكلاء، فإن 21% فقط يمتلكون رؤية فعلية لما يمكن لوكلائهم الوصول إليه، وأي أدوات يستدعونها، أو أي بيانات يلمسونها. وفقاً لـتقرير Gravitee لحالة أمن وكلاء الذكاء الاصطناعي 2026، انطلق 14.4% فقط من وكلاء الذكاء الاصطناعي للإنتاج بموافقة كاملة من الأمن وتكنولوجيا المعلومات.

تخلق هذه الفجوة ظروفاً مثالية لتسميم الذاكرة. الوكلاء المنشورون دون إشراف أمني يراكمون ذكريات من مصادر غير موثوقة — صفحات ويب ورسائل بريد إلكتروني ومدخلات مستخدمين — دون تتبع مصدر للتمييز بين السياق المشروع والتعليمات المحقونة.

الدفاع ضد هجمات تنتظر

بدأ مجتمع الأمن ببناء دفاعات، رغم أن الأدوات لا تزال في مراحلها الأولى. يوفر مشروع OWASP Agent Memory Guard التطبيق المرجعي لدفاع ASI06. يتحقق من سلامة الذاكرة باستخدام خطوط أساس تشفير SHA-256، ويكشف محاولات الحقن وتسريب البيانات الحساسة، ويفرض سياسات أمان YAML تصريحية على عمليات القراءة والكتابة في الذاكرة، ويلتقط لقطات للتراجع الجنائي عند الاشتباه بالتسميم. يستهدف المشروع تكامل LlamaIndex وCrewAI مع واجهات خلفية Redis وPostgreSQL بحلول الربع الثاني من 2026.

بالإضافة إلى الأدوات المخصصة، يوصي باحثو الأمن باستراتيجية دفاع متعددة الطبقات مبنية على ثلاثة أعمدة. أولاً، تتبع المصدر يُرفق بيانات وصفية بكل إدخال في الذاكرة — طابع زمني للإنشاء، الجلسة المصدر، المستند الأصلي، ودرجة ثقة عند الإدخال. تمكّن هذه البيانات الوصفية من استرجاع مرجّح بالثقة، حيث تُخفَّض الذكريات ذات الصلة العالية من مصادر منخفضة الثقة لصالح ذكريات ذات صلة متوسطة من مصادر موثقة.

ثانياً، التحقق قبل الكتابة يستخدم نموذجاً منفصلاً أصغر لتقييم تحديثات الذاكرة المقترحة قبل اعتمادها. يُقيّم المُصادق ما إذا كان الإدخال المقترح يبدو كسياق مكتسب مشروع أو يمكن أن يؤثر على سلوك الوكيل المستقبلي بطرق غير مقصودة — مُنشئاً فعلياً جداراً نارياً بين البيانات الواردة والذاكرة الدائمة.

ثالثاً، المراقبة السلوكية تتتبع مخرجات الوكيل بمرور الوقت لاكتشاف متى يبدأ الوكيل بالدفاع عن معتقدات لم يكن يجب أن يتعلمها، أو عندما تتحول توصياته نحو أنماط تتسق مع التلاعب بالذاكرة.

المصادر والقراءات الإضافية

• OWASP Top 10 for Agentic Applications 2026 — OWASP Foundation
• AI Recommendation Poisoning — Microsoft Security Blog
• MINJA: Memory Injection Attack on LLM Agents — arXiv
• Indirect Prompt Injection Poisons AI Long-Term Memory — Palo Alto Unit 42
• Poison Once, Exploit Forever: eTAMP Attacks on Web Agents — arXiv
• OWASP Agent Memory Guard Project — OWASP Foundation
• AI Agent Security in 2026: Enterprise Risks — Beam AI