NerdLevelTech
security

تسميم الـ AI Search: ١٣ كلمة تتلاعب بإجابات الـ

٢١ يونيو ٢٠٢٦

#AI search poisoning#WARP attack#prompt injection#generative engine optimization#GEO#deep research agents#Cornell Tech#AI security#RAG#user-generated content#ChatGPT Deep Research#Gemini Deep Research
AI Search Poisoning: 13 Words That Rig AI Answers (2026)

تسميم بحث الذكاء الاصطناعي هو هجوم حيث تؤدي إضافة كلمات قليلة إلى صفحة ويب يتم الاستشهاد بها بشكل متكرر إلى توجيه وكلاء أبحاث الذكاء الاصطناعي نحو إجابات يختارها المهاجم. تظهر دراسة WARP من Cornell Tech أن إضافة حوالي 13 كلمة في مصدر واحد يمكن أن تجعل الوكلاء يذكرون منتجًا مزيفًا في 38-51% من عمليات التشغيل المعرضة للهجوم، وترتفع النسبة إلى 62% عندما ينتشر الطُعم عبر صفحات متعددة.1

ملخص

تُظهر مسودة بحثية من مايو 2026 من Cornell Tech، بعنوان Deep-Research Agents Can Be Poisoned via User-Generated Content، أن وكلاء "البحث العميق" — وهي أنظمة أبحاث الويب متعددة الخطوات الكامنة وراء الأوضاع المتقدمة في أدوات مثل ChatGPT وGemini — تشترك في نقطة ضعف هيكلية: يمكن توجيهها من خلال تعديلات بسيطة على الصفحات المجتمعية مثل Reddit وWikipedia. تم إثبات الهجوم الشامل (end-to-end) على وكلاء مفتوحي المصدر من هذه الفئة؛ أما الأدوات التجارية فقد تم قياس مدى تأثرها ولم يتم مهاجمتها مباشرة.1 يطلق الباحثون على هذه التقنية اسم WARP — Web Agent Retrieval Poisoning.2 نظرًا لأن هؤلاء الوكلاء يسحبون البيانات بشكل متكرر من نفس المجموعة الصغيرة من الصفحات التي ينشئها المستخدمون عبر العديد من الاستعلامات ذات الصلة، فإن المهاجم الذي يعدل صفحة واحدة شائعة يمكنه تغيير إجابة الوكيل لموضوع كامل. في الاختبارات، أدى إلحاق ما يقرب من 13 كلمة من النص المحسن بمصدر واحد إلى معدل ذكر بنسبة 38-51% لمنتج ملفق؛ بينما أدى توزيع الطُعم عبر بضع صفحات إلى دفع النسبة إلى 42-62%.1 الاستعلامات الأكثر عرضة للخطر هي بالضبط تلك التي يعتمد عليها الناس في الذكاء الاصطناعي: اختيارات المنتجات، وتوصيات التطبيقات، و"كيف يمكنني الإلغاء"، وأرقام هواتف الطوارئ. هذا ليس مجرد أمر نظري — فقد كشف تحقيق حقوق المستهلك في الصين عام 2026 عن سوار ذكي مزيف تمت التوصية به من قبل روبوتات محادثة حقيقية لمستخدمين حقيقيين.3

ما ستتعلمه

  • ما هو تسميم بحث الذكاء الاصطناعي وكيف يعمل هجوم WARP
  • لماذا يعتبر وكلاء البحث العميق عرضة للخطر هيكليًا، وليس مجرد وجود أخطاء برمجية
  • معدلات النجاح الدقيقة التي قاستها Cornell Tech، وعلى أي أنظمة
  • كيف يرتبط هذا بتحسين محركات البحث التوليدية (GEO) عندما تنحرف عن مسارها
  • لماذا فشلت الدفاعات القياسية — وما الذي يمكن للمستخدمين والمطورين فعله الآن

ما هو تسميم بحث الذكاء الاصطناعي؟

تسميم بحث الذكاء الاصطناعي هو التلاعب بالإجابات التي تنتجها أنظمة الذكاء الاصطناعي التي تسترجع محتوى الويب المباشر، من خلال زرع أو تعديل نص في الصفحات التي تقرأها تلك الأنظمة. على عكس تسميم البيانات الكلاسيكي الذي يستهدف مجموعة تدريب النموذج، يستهدف هذا الهجوم خطوة الاسترجاع في وقت الاستدلال. المهاجم لا يلمس النموذج أبدًا. بل يقوم بتعديل الويب المفتوح — ويترك الوكيل يقوم بالباقي.

هذا الأمر مهم لأن وكلاء البحث العميق أصبحوا بهدوء الطريقة الافتراضية التي يحصل بها الناس على الإجابات. بدلاً من إرجاع عشرة روابط زرقاء، يقومون بإجراء العديد من عمليات البحث على الويب، وقراءة ما يجدونه، ودمج تقرير موثق بالمصادر. هذه الراحة هي بالضبط نقطة الضعف: يعامل الوكيل كل ما يسترجعه كمادة خام لاستنتاجه، وجزء كبير مما يسترجعه هو محتوى يمكن لأي شخص كتابته.

كيف يعمل هجوم WARP

يستغل هجوم WARP عادة هيكلية لدى وكلاء البحث العميق: تداخل الاسترجاع. عندما تسأل وكيل بحث سؤالاً، فإنه يصدر العديد من الاستعلامات الفرعية ذات الصلة في جلسة واحدة. وجدت Cornell Tech أنه ضمن مجموعة مواضيع معينة، يتم استرجاع نفس الصفحة الفردية التي أنشأها المستخدم في ما يصل إلى 48% من الاستعلامات، وأن 17-23% من جميع عناوين URL المسترجعة تأتي من منصات ينشئها المستخدمون مثل Reddit وWikipedia.1

يخلق هذا التداخل نقطة اختناق. والأهم من ذلك، أن WARP لا يحقن مستندات جديدة في الفهرس — بل يعدل صفحة يسترجعها الوكيل بالفعل بشكل طبيعي، على سبيل المثال عن طريق إضافة تعليق إلى موضوع شائع في Reddit.2 قم بتسميم صفحة واحدة يتم الاستشهاد بها بشكل متكرر ويمكنك توجيه إجابة الوكيل عبر فئة كاملة من الأسئلة، وليس مجرد صياغة واحدة لها.

استخدم الباحثون إطار محاكاة أخلاقيًا قاموا ببنائه، يسمى GeoStorm، والذي ينمذج ما سيحدث إذا ظهر نص مسموم على صفحات حقيقية دون تعديل محتوى الويب المباشر أبدًا.1 لتوخي الحذر، قاموا بإلحاق النص المسموم في نهاية الصفحة — وهو الموضع الأقل تفضيلاً للمهاجم — مما يعني أن معدلات النجاح المبلغ عنها هي الحد الأدنى.1

الأرقام: ما مدى موثوقيته؟

الهجوم موثوق بشكل مقلق. أبلغت Cornell Tech عن معدلات الذكر المشروطة هذه لكيان مستهدف ملفق:

الإعدادالبصمة المسمومةمعدل الذكر
مقتطف SERP، صفحة واحدة~13 كلمة على عنوان URL واحد38–51%1
مقتطف SERP، صفحات متعددة~13 كلمة عبر عدة عناوين URL42–62%1
حقن المحتوى الكاملنص في موضوع Reddit واحد، أقل من 4% من المحتوى المسترجع30–53%1

هذه المعدلات "مشروطة بالتعرض" — فهي تصف الحالات التي تم فيها استرجاع المصدر المسموم بالفعل. وبالنظر إلى أن صفحة واحدة يمكن أن تظهر في ما يقرب من نصف الاستعلامات في مجموعة ما، فإن التعرض ليس عائقًا كبيرًا.

تم تشغيل الهجوم الكامل والشامل ضد ثلاثة أنظمة بحث عميق مفتوحة المصدر: STORM ومتغيره Co-STORM (من مختبر OVAL بجامعة ستانفورد) و OmniThink.1 لم يهاجم الفريق الأدوات التجارية بشكل شامل، لأن القيام بذلك كان سيعني تسميم الويب المباشر. بدلاً من ذلك، قاموا بقياس مدى اعتماد كل نظام تجاري على المحتوى الذي ينشئه المستخدمون. كان الانقسام صارخًا: استمد Gemini Deep Research حوالي 12% من استشهاداته من المحتوى الذي ينشئه المستخدمون، بينما استخدمه Deep Research من OpenAI بنسبة 0.4% فقط (3 من أصل 176 استعلامًا)، حيث يبدو أنه يفلتره بقوة لصالح وسائل الإعلام الراسخة والمصادر الحكومية وصفحات المنتجات الرسمية.1 بعبارة أخرى، هذا ضعف مثبت في كيفية عمل الأنظمة — وليس دليلاً على تعرض أي روبوت محادثة استهلاكي محدد للخداع في الواقع.

لماذا يعتبر هذا تحسين محركات البحث التوليدية (GEO) منحرفًا

إذا كان "تحسين المحتوى لكي تستشهد به محركات الذكاء الاصطناعي" يبدو مألوفًا، فذلك لأنه تخصص تسويقي حقيقي وسريع النمو: تحسين محركات البحث التوليدية (GEO)، وهو خليفة SEO في عصر الذكاء الاصطناعي.4 WARP هو ما يحدث عندما يتم توجيه تقنيات GEO نحو كيانات ملفقة بدلاً من الكيانات الحقيقية. حتى أن فريق Cornell استخدم مطالبة تحسين بأسلوب GEO لإعادة كتابة طُعمهم لتحقيق أقصى احتمالية للاستشهاد.1

يرجع سبب نجاح هذا الأمر إلى حد كبير لسبب معرفي (Epistemic). فكما صرح المؤلف الرئيسي تينجوي تشانج لموقع 404 Media، فإن هذه الأنظمة تزن تعليقاً عشوائياً على Reddit وموقعاً حكومياً بنفس درجة المصداقية تقريباً.5 كما تميل الوكلاء الذكية إلى التعامل مع النص الذي يشبه صياغة السؤال كبديل للنص الدقيق — لذا فإن المهاجم الذي يحاكي العبارات الشائعة يكسب ثقة النموذج.5

وهذا لم يعد مجرد اكتشاف معملي. فقد استعرضت هيئة الإذاعة الحكومية الصينية CCTV نفس الفكرة في حفل "315" لحقوق المستهلك في مارس 2026: حيث اخترع الصحفيون سواراً ذكياً يسمى Apollo 9، ووصفوه بمواصفات لا معنى لها مثل "مستشعرات التشابك الكمي" و"عمر بطارية بمستوى الثقب الأسود"، وقاموا بنشر هذه المصطلحات عبر الإنترنت حتى تظهر في نتائج المساعدات الذكية. وبالفعل بدأت برامج الدردشة الآلية الصينية في التوصية بالمنتج غير الموجود للمستخدمين الحقيقيين — واستمر بعضها في القيام بذلك حتى بعد يوم من بث التقرير الاستقصائي.3 وقدر تقرير صادر عن iiMedia Research في فبراير 2026 حجم صناعة GEO في الصين بنحو 35 مليار يوان في عام 2025، بزيادة قدرها 67% على أساس سنوي — وهو محرك تجاري ضخم موجه مباشرة نحو سطح الهجوم هذا.3

لماذا فشلت الدفاعات البديهية

الجزء الصعب هو أن الحلول السهلة لا تعمل. اختبر الباحثون الدفاعات البديهية — مثل حظر المواقع التي ينشئها المستخدمون تماماً، وفحص المصادر قبل استخدامها، ومسح الإجابة النهائية بحثاً عن التلاعب — ولم يصمد أي منها دون جعل إجابات الوكيل أسوأ بشكل ملحوظ.5 فحظر Reddit و Wikipedia، على سبيل المثال، يزيل المعرفة المجتمعية المفيدة حقاً جنباً إلى جنب مع السموم.

والأسوأ من ذلك، أن خدعة قياسية لاكتشاف المحتوى الرديء الذي تنتجه AI قد أتت بنتائج عكسية. فالمكتشفات التي تضع علامة على النصوص "غير الطبيعية" تفترض أن المحتوى المكتوب آلياً يُقرأ بشكل ركيك — لكن الطُعم المحسن لـ GEO يُقرأ بشكل أكثر طلاقة من تعليقات البشر الحقيقية، وليس أقل، لذا فإن الفلتر موجه في الاتجاه الخاطئ.5 وصرحت Reddit لموقع 404 Media أنها قضت عقدين في محاربة البريد العشوائي والتلاعب المنسق، وبدأت مؤخراً في مطالبة الحسابات الآلية المشبوهة بالتحقق من أنها بشرية، لكن الباحثين يصنفون هذا كمشكلة على مستوى المجتمع لا تستطيع منصة واحدة حلها بالكامل.5

إذا كنت تقوم ببناء أنظمة استرجاع، فهذا تذكير بأن الثقة في المصدر يجب أن تُكتسب ولا تُفترض. إن نفس الانضباط الذي يمنع إخفاقات RAG الشائعة — مثل تتبع المصدر، ووزن المصادر، والتحقق من الادعاءات مقابل المراجع الموثوقة — أصبح الآن ضابطاً أمنياً، وليس مجرد ضابط جودة. وهو يتماشى بشكل طبيعي مع نوع ضوابط LLM التي تحتاجها التطبيقات الحقيقية.

ما ستتعلمه

بالنسبة للمستخدمين العاديين، الحل هو تطبيق الشك في اللحظات المناسبة:

  • تعامل مع توصيات AI كخيوط أدلة، وليس كأحكام نهائية — خاصة في أي شيء يتعلق بالمال أو الصحة أو السلامة.
  • انقر على الاستشهادات. إذا ذكر AI علامة تجارية بثقة، فتحقق من مصدر هذا الادعاء. تعليق واحد على Reddit هو علامة خطر.
  • تحقق من الأسماء غير المألوفة بشكل مستقل قبل الوثوق بخيار "الأعلى تقييماً" الذي لم تسمع به من قبل.
  • كن حذراً للغاية مع الاستفسارات العاجلة — فالمساعدة الطارئة على الطريق، وأرقام خدمة العملاء، واسترداد الحسابات هي أهداف رئيسية للاحتيال.

بالنسبة للمطورين، الدروس المستفادة أكثر حدة: افترض أن مجموعة البيانات المسترجعة عدائية، قلل من وزن صفحات المحتوى الذي ينشئه المستخدمون ذات التداخل العالي، اطلب تأكيداً من مصادر مستقلة قبل الاستشهاد بادعاء، وتذكر أن الطلاقة ليست مصداقية. إن المعركة الأوسع ضد المخرجات الواثقة ولكن الخاطئة هي نفسها الكامنة وراء منع الهلوسة، ولديها الآن خصم نشط على الجانب الآخر.

الخلاصة

يعد WARP بمثابة جرس إنذار حول البنية التحتية لبحث AI. إن نفس البنية التي تجعل وكلاء البحث العميق مريحين — قراءة الويب المفتوح، الثقة في الجمهور، الاستشهاد أثناء المضي قدماً — هي البنية التي تسمح لـ 13 كلمة بتغيير الإجابة. الحل ليس رقعة برمجية واحدة؛ بل هو تحول في كيفية تعامل كل من المستخدمين والمطورين مع المحتوى المسترجع: مفيد، ولكنه يستحق التحقق المزدوج. تعامل مع توصية AI الواثقة كما تتعامل مع نصيحة من غريب ثرثار في منتدى. مفيدة، وعبقرية أحياناً، ولكنها ليست الكلمة الأخيرة أبداً.

Footnotes

  1. Tingwei Zhang، Harold Triedman، Vitaly Shmatikov، "يمكن تسميم وكلاء البحث العميق عبر المحتوى الذي ينشئه المستخدمون،" arXiv:2605.24245 [cs.CR]، تم تقديمه في 22 مايو 2026. https://arxiv.org/abs/2605.24245 2 3 4 5 6 7 8 9 10 11 12 13 14 15

  2. تعريف ومنهجية هجوم WARP، المصدر نفسه.، القسم 5.1. https://arxiv.org/html/2605.24245v1 2

  3. Lim Min Zhang، "عندما توصي روبوتات الدردشة بالذكاء الاصطناعي 'المسمومة' بمنتجات مزيفة للمستهلكين الصينيين،" The Straits Times / Asia News Network، 19 مارس 2026 (تغطية لتحقيق حفل "315" الخاص بـ CCTV). https://asianews.network/when-poisoned-ai-chatbots-recommend-fake-products-to-chinese-consumers/ 2 3 4

  4. "ما هو تحسين محركات البحث التوليدية (GEO)؟" Search Engine Land. https://searchengineland.com/what-is-generative-engine-optimization-geo-444418

  5. Amanda Caswell، "تعليق من 13 كلمة على Reddit يمكنه خداع بحث الذاء الاصطناعي للتوصية بعمليات احتيال، وفقًا لباحثين،" Tom's Guide، يونيو 2026 (نُشر لأول مرة بواسطة 404 Media). https://www.tomsguide.com/ai/a-13-word-reddit-comment-can-trick-ai-search-into-recommending-scams-researchers-find 2 3 4 5 6

الأسئلة الشائعة

إنهما مرتبطان. حقن الأوامر يخفي التعليمات داخل المحتوى الذي يقرأه AI. أما WARP فهو هجوم تسميم للاسترجاع: فهو لا يصدر أوامر بالضرورة، بل يزرع محتوى مقنعاً يستشهد به الوكيل ويكرره. كلاهما يستغل حقيقة أن الوكلاء يثقون في النصوص الخارجية.

تابع التعلم

مقالات ذات صلة

كيف اكتشف Claude Mythos ٢٧١ ثغرة أمنية في Firefox

كيف اكتشف Claude Mythos ٢٧١ ثغرة أمنية في Firefox

claude-mythosfirefox
الحدود الوعرة للأمن السيبراني المعتمد على AI: النماذج الصغيرة (Small Models) مقابل الأساطير

الحدود الوعرة للأمن السيبراني المعتمد على AI: النماذج الصغيرة (Small Models) مقابل الأساطير

ai-securitycybersecurity
الأمن السيبراني في عصر الذكاء الاصطناعي: الدفاع عن حدود رقمية جديدة

الأمن السيبراني في عصر الذكاء الاصطناعي: الدفاع عن حدود رقمية جديدة

AI securitycybersecurity
GPT-5.5-Cyber يصل إلى الاتحاد الأوروبي: ماذا يعني ذلك (2026)

GPT-5.5-Cyber يصل إلى الاتحاد الأوروبي: ماذا يعني ذلك (2026)

gpt-5.5-cyberopenai