تسميم أدوات MCP: ناقل الهجوم الخفي لوكلاء الذكاء الاصطناعي

نُشر في أبريل 29, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

وصل Model Context Protocol إلى 97 مليون عملية تثبيت بوصفه الموصّل السائد لوكلاء الذكاء الاصطناعي، غير أن الباحثين الأمنيين حددوا ‘تسميم الأدوات’ — تعليمات خبيثة مخفية في بيانات وصف الأدوات — باعتباره أكثر ثغرات MCP انتشاراً. يُثبت CVE-2025-3248 (Langflow، CVSS 9.8) إمكانية الاستغلال الفعلي لأنظمة الوكلاء في بيئات الإنتاج، ويؤكد معيار MCPTox أن تسميم الأدوات ينجح في جميع التطبيقات المختبرة حين تغيب آليات التحقق على جانب العميل.

خلاصة سريعة: يجب على فرق أمن المؤسسات جرد جميع الأدوات المتصلة عبر MCP في وكلاء الإنتاج فوراً، وتطبيق مبدأ الصلاحية الأدنى، وإضافة طبقة تحقق على مستوى العميل قبل وصول ردود الأدوات إلى نموذج LLM.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
متوسط
▾

المنظمات الجزائرية التي تنشر وكلاء ذكاء اصطناعي عبر منصات متوافقة مع MCP (Microsoft Copilot Studio وأدوات داخلية قائمة على LangChain) ترث هذه الفئة من الثغرات. مجتمع المطورين المحليين الذي يبني أدوات متصلة بـ MCP على منصات مثل GitHub معرّض مباشرةً، وغياب توجيهات الأمن الوطنية للذكاء الاصطناعي يعني أن الخطر ليس على رادار معظم الفرق بعد.

البنية التحتية جاهزة؟
جزئي
▾

المؤسسات الجزائرية قادرة على تشغيل وكلاء متوافقة مع MCP — البروتوكول على مستوى البرمجيات ولا يتطلب أجهزة متخصصة — لكن معظم المنظمات تفتقر إلى middleware التحقق على جانب العميل وسجلات أدوات MCP اللازمة لتفعيل الدفاعات الموضّحة هنا.

المهارات متوفرة؟
جزئي
▾

يمتلك مجتمع المطورين الجزائري مهارات أمنية عامة قوية، وتتنامى الكفاءة في تطوير الذكاء الاصطناعي. غير أن هندسة الأمن الخاصة بالذكاء الاصطناعي — بناء طبقات تحقق عميل MCP وتطبيق أطر نطاق صلاحيات الوكلاء — مهارة متخصصة لا تتوفر على نطاق واسع بعد. توثيق OWASP LLM Top 10 متاح مجاناً.

الجدول الزمني للعمل
6-12 شهراً
▾

يجب على المنظمات التي تنشر بالفعل وكلاء ذكاء اصطناعي إنتاجية بدء سجلات أدوات MCP وتحديد نطاق الصلاحيات فوراً. لسوق المؤسسات الأوسع، نافذة 6-12 شهراً لتأسيس السياسات والأدوات قبل بلوغ تبنّي الذكاء الاصطناعي الوكيل كتلةً حرجة.

أصحاب المصلحة الرئيسيون
مهندسو أمن المؤسسات، مهندسو الذكاء الاصطناعي/التعلم الآلي، فرق DevSecOps، مديرو التقنية في الشركات الناشئة للذكاء الاصطناعي

نوع القرار
استراتيجي
▾

بناء وضع أمني دائم لـ MCP يتطلب قرارات معمارية حول سجلات الأدوات وطبقات التحقق على جانب العميل وأطر صلاحيات الوكلاء — ليست تصحيحات لمرة واحدة بل ممارسات هندسة أمنية مستمرة.

خلاصة سريعة: يجب على فرق أمن المؤسسات جرد جميع الأدوات المتصلة عبر MCP في وكلاء الإنتاج فوراً، وتطبيق نطاق الأذونات الأدنى للأدوات، وإضافة طبقة تحقق على مستوى العميل قبل وصول استجابات الأدوات إلى النموذج. للمنظمات التي تُقيّم حزم خوادم MCP الخارجية، تطبيق نفس عملية فحص سلسلة التوريد المستخدمة لأي تبعية مفتوحة المصدر حيوية.

كيف أصبح MCP نقطة عمياء أمنية على نطاق واسع

صُمّم Model Context Protocol (MCP) لحل مشكلة تكامل: بدلاً من كتابة موصّلات مخصصة لكل أداة قد يحتاجها وكيل الذكاء الاصطناعي، يُسجّل المطورون الأدوات عبر بروتوكول موحّد ويتركون النموذج يقرر أيها يُستدعى. بحلول أبريل 2026، بلغ MCP 97 مليون عملية تثبيت وحقق وضع المعيار الفعلي كطبقة موصّلات لوكلاء الذكاء الاصطناعي المؤسسي.

كفاءة تصميم البروتوكول هي في الوقت ذاته ثغرته الأمنية. حين تُسجَّل أداة في نظام MCP، يُحمَّل اسمها ووصفها ومخطط معاملاتها مباشرةً في نافذة سياق النموذج. يعني ذلك أن من يتحكم في وصف الأداة يتحكم في جزء من فضاء تعليمات النموذج — وأوصاف الأدوات غير مُتحقَّق منها ولا موقّعة ولا معزولة افتراضياً في معظم تطبيقات عملاء MCP.

يستغل تسميم الأدوات هذه الفجوة تحديداً. يمكن لجهة خبيثة تضمين تعليمات خفية داخل حقل وصف أداة أو مخطط معاملاتها. هذه التعليمات غير مرئية للمستخدم الذي يراجع الأدوات المتاحة للوكيل، لكنها موجودة في نافذة سياق النموذج ويمكنها إعادة توجيه سلوك الوكيل: استخراج البيانات إلى نقطة وصول غير مصرح بها، وتجاوز ضوابط الوصول، واستدعاء أدوات إضافية لم يقصدها المستخدم، أو حقن معلومات خاطئة في المخرجات.

وثّقت Invariant Labs هذه الفئة من الهجمات في إشعار MCP Security Notification on Tool Poisoning Attacks. ونشرت Elastic Security Labs بشكل مستقل تحليلاً لناقلات هجوم أدوات MCP وتوصيات الدفاع. وكشفت مقارنة منهجية لسبعة عملاء MCP رئيسيين أن معظمهم يعاني من مشاكل أمنية جسيمة وتحقق ثابت غير كافٍ ورؤية محدودة للمعاملات — فيما لا تشترط مواصفة MCP ذاتها التحقق من صحة بيانات الخادم على جانب العميل.

سطح الهجوم يمتد إلى ما هو أبعد من أوصاف الأدوات

ركّزت الأبحاث الأولية على حقل description — نقطة الحقن الأكثر وضوحاً. أظهرت أعمال لاحقة، بما فيها معيار MCPTox (الذي يغطي 45+ خادم MCP حقيقي في 8 نطاقات تطبيق) وتحليل Palo Alto Networks Unit 42 لناقلات هجوم MCP عبر واجهة Sampling API، أن سطح الهجوم أوسع جوهرياً.

كل عنصر من مخطط الأداة يدخل نافذة سياق النموذج هو ناقل حقن محتمل: أسماء المعاملات، ووصفها، ومخططات قيم الإرجاع، وحمولات استجابة الأداة. تُشكّل واجهة MCP Sampling — التي تسمح لمكوّنات جانب الخادم بطلب إتمامات من النموذج — مساراً هجومياً إضافياً يمكّن خادم MCP خبيثاً من التفاعل مباشرةً مع النموذج.

فئة هجوم تسميم الذاكرة تُوسّع هذا النطاق أكثر. إذا كان وكيل الذكاء الاصطناعي يحتفظ بذاكرة دائمة، فإن مهاجماً يتمكن من زرع استدعاء أداة مُسمَّم مبكراً في الحياة التشغيلية للوكيل قد يُفسد المخزن الذاكري — مخلّفاً «قرارات سيئة باستمرار، للأبد» بدلاً من هجوم لمرة واحدة. هذا هو المكافئ MCP للتهديد المتقدم المستمر (APT): اختراق دائم من خلال حقن واحد.

CVEs حقيقية تؤكد أن هذه الفئة من التهديدات تجاوزت حدود البحث إلى الاستغلال الفعلي. CVE-2025-3248 (Langflow، CVSS 9.8) تُتيح تنفيذ كود عن بُعد دون مصادقة على منصة سير عمل ذكاء اصطناعي وكيل. CVE-2025-34291 (Langflow) تربط إعدادات CORS الخاطئة بـ tokens تحديث SameSite=None لتمكين سرقة بيانات الاعتماد عبر المصادر وتنفيذ كود مُصادَق. CVE-2025-64496 (Open WebUI) تسمح لخوادم نماذج خبيثة بتنفيذ JavaScript عشوائي في متصفحات الضحايا عبر واجهة Functions API.

ما يجب على فرق أمن المؤسسات رسمه الآن

1. بناء سجل كامل لأدوات MCP قبل ربط أي بيانات إنتاجية

الشرط الأساسي لأمن MCP هو معرفة الأدوات المسجّلة في سياق الوكيل. من الناحية العملية، تنمو أنظمة MCP عضوياً — يضيف المطورون أدوات من سجلات مجتمعية وحزم npm وخوادم MCP خارجية دون عملية موافقة رسمية. يجب على فرق الأمن إنشاء سجل أدوات MCP: جرد موثّق لكل أداة متصلة بكل وكيل إنتاجي، يتضمن مصدر خادم MCP والإصدار المستخدم ومن راجع الوصف ومخطط المعاملات قبل النشر.

يُحقق هذا السجل هدفين: أولاً، يُتيح التحليل الثابت لأوصاف الأدوات قبل دخولها الإنتاج؛ ثانياً، يخلق مسار تدقيق يُمكّن من البحث عن التهديدات — إذا اكتُشفت أداة مخترقة، يمكنك تحديد الوكلاء المتأثرين فوراً.

2. تطبيق التحقق من المدخلات على مستوى عميل MCP لا على مستوى النموذج فقط

معظم نقاشات أمن MCP تركّز على تقوية الطلبات — كتابة طلبات نظام تأمر النموذج بتجاهل التعليمات المتعارضة. هذا النهج منقوص لأنه يعتمد على دفاعات النموذج ذاتها ضد فئة هجوم مُصمَّمة تحديداً لتجاوزها. معدل نجاح 97% للجيلبريك متعدد الأدوار يُوضّح سبب قصور الدفاعات على مستوى النموذج وحدها.

الضابط الأكثر متانة هو التحقق على مستوى عميل MCP: التحقق من توافق المخطط (رفض استجابات الأدوات التي لا تتطابق مع المخطط المسجّل)، وكشف أنماط المحتوى (الإشارة إلى الاستجابات التي تحتوي على أنماط تعليمات مثل «تجاهل التعليمات السابقة»)، وحدود حجم الاستجابة. مكتبات تُطبّق هذه الطبقة بدأت في الظهور في النظام البيئي لـ MCP؛ وإضافة هذا الـ middleware يُمثّل جهداً هندسياً من أسبوع إلى أسبوعين.

3. تحديد نطاق صلاحيات الوكيل بأدنى مجموعة أدوات ضرورية

كل أداة متصلة بوكيل ذكاء اصطناعي إنتاجي تُوسّع نطاق الضرر في حالة هجوم تسميم ناجح. وكيل يمتلك وصولاً لأداة تنفيذ shell وأداة إرسال بريد إلكتروني وأداة استعلام قواعد بيانات وأداة كتابة ملفات، مقترنة بأداة قراءة توثيق مُسمَّمة، يمكن إعادة توجيهه لتنفيذ أوامر عشوائية وتسريب البيانات عبر البريد الإلكتروني — كل ذلك من خلال وصف أداة واحد مخترق.

طبّق نطاق الأدوات عند النشر: يجب أن يُحدّد كل تكوين وكيل الحد الأدنى من الأدوات المطلوبة لوظيفته المحددة. قوائم الأدوات يجب تحديدها بشكل ثابت في تكوين النشر بدلاً من تجميعها ديناميكياً في وقت التشغيل.

4. معاملة خوادم MCP الخارجية كمكوّنات سلسلة توريد غير موثوقة

نما نظام MCP البيئي بسرعة، ومعه مجتمع من خوادم MCP الخارجية المتاحة كحزم npm وPyPI وصور Docker وخدمات API مستضافة. هذه المكوّنات الخارجية هي مكوّنات سلسلة توريد — عرضة لنفس مخاطر أي تبعية مفتوحة المصدر: اختراق المشرف، والتقليد الكتابي (typosquatting)، وإعادة نشر الحزم المخترقة.

يجب على فرق أمن المؤسسات تطبيق نفس عملية فحص التبعيات على حزم خوادم MCP التي يُطبّقونها على أي تبعية مفتوحة المصدر حيوية: تثبيت الإصدارات المحددة بدلاً من «الأحدث»، ومراجعة كود الخادم للاستدعاءات الشبكية الصادرة غير المُعلنة، والتحقق من تاريخ المشرف، والاشتراك في نشرات الأمن لكل خادم MCP مستخدم.

الدرس الهيكلي: حدود تنفيذ جديدة

أمضى مجتمع الأمن عقوداً في تعلّم معاملة المدخلات المُقدَّمة من المستخدم كغير موثوقة. حقن SQL وXSS وحقن الأوامر وpath traversal كلها تنويعات على الموضوع ذاته: مهاجم يُقدّم مدخلاً يُفسَّر ككود لا كبيانات. تسميم أدوات MCP هو نفس فئة الثغرة مُطبَّقة على حدود تنفيذ جديدة — الحد بين استدلال النموذج والأدوات التي يمكنه استدعاؤها.

الفارق هو الحجم والخفاء. حمولة حقن SQL مرئية في سجلات HTTP. حمولة تسميم الأدوات مُضمَّنة في حقل وصف أداة، محمولة بصمت في سياق النموذج عند تهيئة الوكيل، وتعمل من خلال استدلال النموذج ذاته. لم تُصمَّم WAF المعيارية وقواعد SIEM وسياسات DLP لفحص هذا الحد.

أصدرت وكالة الأمن السيبراني في سنغافورة وCISA كلتاهما إرشادات في 2026 حول أمن وكلاء الذكاء الاصطناعي تتناول صراحةً هذا الحد التنفيذي. يجب على فرق أمن المؤسسات معاملة بيانات أدوات MCP بنفس الريبة المطبّقة على مدخلات استعلامات SQL: التحقق والتنقية والمراقبة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما هو تسميم أدوات MCP وكيف يختلف عن هجوم حقن الطلب المعتاد؟

في حقن الطلب المعتاد، يُضمّن المهاجم تعليمات خبيثة في محتوى يعالجه النموذج. يستهدف تسميم أدوات MCP تحديداً بيانات وصف الأدوات — الاسم والوصف ومخطط المعاملات. نظراً لتحميل بيانات الأدوات في نافذة سياق النموذج عند تهيئة الوكيل لا أثناء التنفيذ، يمكن لأداة مُسمَّمة إعادة توجيه سلوك الوكيل عبر جميع المهام اللاحقة، مما يجعله أكثر ثباتاً من حقن طلب لمرة واحدة.

أي ثغرات حقيقية تُثبت أن تسميم أدوات MCP ليس مجرد خطر نظري؟

CVE-2025-3248 (Langflow، CVSS 9.8) تُتيح تنفيذ كود عن بُعد دون مصادقة على منصة سير عمل ذكاء اصطناعي وكيل — ما يُثبت أن المهاجمين يستهدفون البنية التحتية للذكاء الاصطناعي الوكيل بدرجات CVSS إنتاجية. يُؤكد معيار MCPTox، الذي يغطي أكثر من 45 خادم MCP حقيقياً، أن هجمات تسميم الأدوات تنجح في جميع التطبيقات المختبرة حين تغيب آليات التحقق على جانب العميل.

كيف تحمي المنظمات نفسها من هجمات سلسلة التوريد على حزم خوادم MCP الخارجية؟

معاملة حزم خوادم MCP كتبعيات سلسلة توريد حيوية: تثبيت إصدارات محددة منشورة بدلاً من «الأحدث»، ومراجعة الكود المصدري للحزمة للاستدعاءات الشبكية الصادرة غير المُعلنة، والتحقق من تاريخ المشرف وأنماط التنزيل للكشف عن الشذوذات، والاشتراك في نشرات CVE والتحذيرات لكل خادم MCP في الإنتاج. لخوادم MCP التي توفر وصولاً لأنظمة حساسة، تفضيل التطبيقات المستضافة ذاتياً ذات الكود القابل للمراجعة على الخدمات المستضافة خارجياً.