أضافت مايكروسوفت سبعة أنماط فشل جديدة إلى تصنيفها الخاص بمخاطر وكلاء الذكاء الاصطناعي، في تحديث يعكس حجم التحديات الأمنية التي ظهرت مع انتقال هذه الأنظمة من التجارب المحدودة إلى الاستخدام الفعلي داخل المؤسسات. وتؤكد الشركة أن انتشار الوكلاء المعتمدين على الأدوات والسياقات والاتصال بالخدمات الخارجية كشف عن مسارات هجوم أوسع بكثير مما كان متوقعاً في السابق.
وتأتي هذه الخطوة بعد نحو عام من إصدار مايكروسوفت أول إطار لها لوصف نقاط الضعف في أنظمة الذكاء الاصطناعي الوكيلة، لكن سرعة تبني هذه التقنيات، ونمو بيئة Model Context Protocol المعروفة اختصاراً بـ MCP، وظهور أدوات تستخدم الحاسوب مباشرة عبر الواجهات الرسومية، كلها عوامل دفعت الشركة إلى توسيع التصنيف. كما ساعدت النتائج العملية القادمة من اختبارات الاختراق والأبحاث الميدانية على توضيح أن الفشل في هذه الأنظمة لا يحدث دائماً بالطريقة التقليدية نفسها.
من تعليمات خبيثة إلى سرقة الهوية
الأنماط السبعة الجديدة التي رصدتها مايكروسوفت تغطي مجموعة واسعة من المخاطر. فهناك هجوم يمكن أن يستهدف سلسلة توريد الوكيل نفسه عبر التأثير في سلوكه من خلال اللغة الطبيعية بدلاً من الشيفرة البرمجية. وهناك أيضاً ما يعرف بتحويل الهدف، وهو أسلوب تتخفى فيه التعليمات العدائية داخل مهمة تبدو مشروعة، لكنها تدفع الوكيل في النهاية إلى غاية مختلفة تماماً.
ويشمل التصنيف كذلك خطر تضخيم الثقة بين الوكلاء، عندما ينجح وكيل مخترق في الادعاء بأنه يملك هوية صحيحة أو صلاحيات أعلى أمام وكيل منسق. هذا النوع من الهجمات مهم لأنه يستهدف العلاقات بين الوكلاء أنفسهم، وليس فقط التفاعل بين الإنسان والنظام. كما أضافت مايكروسوفت فئة تتعلق بالهجوم البصري على وكلاء استخدام الحاسوب، وهي حالة يمكن فيها استغلال المحتوى الظاهر على الشاشة لتمرير تعليمات خبيثة إلى الوكيل أثناء تنقله بين الصفحات أو النوافذ.
تلوث السياق واستغلال الإضافات
من بين التهديدات الجديدة أيضاً تلوث سياق الجلسة، وهو أسلوب يقوم فيه المهاجم بإدخال بيانات تؤثر في استنتاجات الوكيل وخطواته اللاحقة دون أن تُفعل أي آلية حماية في كل خطوة على حدة. ويختلف هذا المسار عن الهجمات المباشرة لأنه يراكم أثره تدريجياً، ما يجعل اكتشافه أصعب في البيئات المعقدة.
أما الفئة الخامسة فتتعلق بإساءة استخدام MCP والإضافات البرمجية، وهي نقطة حساسة لأن هذه البروتوكولات صممت لفتح الوكلاء على أدوات وخدمات متعددة. وكلما زادت هذه الاتصالات، اتسعت مساحة الهجوم المحتملة، سواء عبر وظائف مخترقة أو عبر تكاملات لا تخضع للرقابة الكافية. وتعتبر مايكروسوفت أن هذه الطبقة تستحق معالجة أدق من مجرد التعامل معها كامتداد عادي للتكامل البرمجي.
وتضيف الشركة أيضاً خطر كشف القدرات أو البنية الداخلية للوكيل، مثل أسماء الأدوات التي يستخدمها، أو مخطط الواجهات، أو بنية رسالة النظام، أو آليات الذاكرة، أو منطق طلب موافقة البشر. وفي بيئة الخصوم فيها أكثر تنظيماً، يمكن لهذه المعلومات أن تصبح مدخلاً لتطوير هجمات أكثر دقة على المنظومة بالكامل.
توصيات دفاعية للمؤسسات
لا تكتفي مايكروسوفت بوصف المخاطر، بل تربطها بإرشادات عملية للفرق الأمنية. أول هذه الإرشادات هو حصر سلسلة التوريد الخاصة بالوكلاء كما يُفعل مع البرمجيات التقليدية، عبر إعداد قائمة دقيقة بالمكونات والاعتمادات. كما تدعو الشركة إلى إنشاء بيان مواد برمجية لكل وكيل منشور، بحيث تصبح مكوناته وعلاقاته معروفة ويمكن تدقيقها بسرعة عند الحاجة.
ومن التوصيات الأساسية أيضاً الاعتماد على هوية قابلة للإثبات عند نشر الوكلاء، بدلاً من افتراض الثقة بناءً على مكانهم داخل الشبكة أو الاسم الظاهر لهم. وتقول مايكروسوفت إن إصدار بيانات اعتماد موثقة عند التهيئة يساعد على تقليل فرص انتحال الهوية أو استغلال الصلاحيات بطريقة غير مباشرة.
إلى جانب ذلك، توصي الشركة بإدخال أنماط الفشل السبعة الجديدة ضمن جداول الاختبار الهجومي وفرق red teaming، لأن الاختبارات التقليدية لم تعد كافية وحدها في بيئة تتغير فيها طريقة اتخاذ القرار والتفاعل مع الأدوات. كما تشدد على مراجعة تجربة الإنسان داخل الحلقة، لأن واجهة الموافقة أو التنبيه قد تتحول نفسها إلى طبقة أمنية حاسمة إذا صُممت بطريقة صحيحة.
ماذا يعني ذلك لسوق وكلاء الذكاء الاصطناعي
تعكس هذه الخطوة اتجاهاً أوسع في الصناعة مفاده أن وكلاء الذكاء الاصطناعي لم يعودوا مجرد واجهات ذكية لإنتاج النصوص أو تنفيذ المهام البسيطة، بل أصبحوا مكونات تشغيلية تتعامل مع بيانات وأدوات وصلاحيات حقيقية. ومع هذا التحول، تنتقل المخاطر من مستوى الخطأ في المخرجات إلى مستوى التلاعب في القرار والتنفيذ والهوية.
ويأتي تحديث مايكروسوفت في وقت تتنافس فيه الشركات الكبرى على دمج الوكلاء في بيئات التطوير وخدمة العملاء والأتمتة الداخلية. لكن كل خطوة إضافية نحو الاستقلالية تفرض متطلبات أعلى في التوثيق، والمراقبة، وفصل الصلاحيات، وفهم الحدود بين ما يمكن أن يفعله النظام وما ينبغي ألا يُسمح له بفعله.
وبذلك، لا يقدم التصنيف الجديد قائمة تهديدات فقط، بل يضع معياراً عملياً للتعامل مع جيل أكثر تعقيداً من أنظمة الذكاء الاصطناعي. فكلما زادت قدرات الوكيل، زادت الحاجة إلى تصميمه باعتباره هدفاً أمنياً كاملاً، لا مجرد أداة إنتاجية ذكية.