تحليل المطالبات المسربة
دراسات الحالة: مطالبات أدوات الذكاء الاصطناعي الرئيسية
دعونا نحلل مطالبات مسربة محددة من مساعدي البرمجة بالذكاء الاصطناعي الرئيسيين لفهم آثارها الأمنية وقراراتها المعمارية.
دراسة الحالة 1: Cursor (يناير 2026)
الخلفية: وصل Cursor إلى $500M ARR مع 8 وكلاء خلفيين متوازيين، مما يجعله أداة البرمجة بالذكاء الاصطناعي الأعلى إيراداً.
مقتطفات ذات صلة بالأمان
بروتوكول أمان Git:
بروتوكول أمان Git:
- لا تحدّث أبداً تكوين git
- لا تشغّل أبداً أوامر git تدميرية/لا رجعة فيها
(مثل push --force، hard reset، إلخ) إلا إذا طُلب صراحة
- لا تتخطى أبداً الخطافات (--no-verify، --no-gpg-sign، إلخ)
- لا تدفع بالقوة أبداً إلى main/master
- حرج: إذا فشل الالتزام أو رُفض بواسطة خطاف،
لا تستخدم amend أبداً - أصلح المشكلة وأنشئ التزاماً جديداً
التحليل الأمني:
- عبارات "أبداً" الصريحة تخلق أهداف تجاوز
- استثناءات مثل "إلا إذا طُلب صراحة" تمكّن الهندسة الاجتماعية
- التمييز بين الالتزامات الفاشلة/المرفوضة يكشف معالجة الحالة الداخلية
نظام الموافقة على الأدوات:
يمكنك استخدام الأدوات التالية بدون طلب موافقة المستخدم:
Bash(ls:*)، Bash(find:*)، Bash(grep:*)، Bash(npm install:*)،
Bash(git status:*)، Bash(git diff:*)، Bash(git log:*)
الثغرة: المهاجمون الذين يمكنهم حقن أوامر من خلال هذه الأنماط المعتمدة يتجاوزون نظام التأكيد. على سبيل المثال، ls; malicious_command قد ينفذ إذا لم يتم تعقيم تحليل shell بشكل صحيح.
تأثير CVE-2025-54135/54136
أظهرت ثغرات Cursor:
- ناقل الهجوم: تعليمات خبيثة في ملفات GitHub README
- الاستغلال: عندما فهرس Cursor الملفات، نُفذت التعليمات
- التأثير: تنفيذ كود عن بُعد من خلال حقن المطالبات
- فجوة الدفاع: لا تعقيم للمدخلات لمحتوى RAG المسترجع
دراسة الحالة 2: Claude Code (Anthropic)
الخلفية: واجهة سطر الأوامر الرسمية من Anthropic، معروفة ببروتوكولات الأمان المفصلة.
أمان تكامل MCP
{
"mcpServers": {
"filesystem": {
"command": "npx",
"args": ["-y", "@modelcontextprotocol/server-filesystem"],
"env": {
"ALLOWED_PATHS": "/home/user/projects"
}
}
}
}
التحليل الأمني:
- خوادم MCP تنفذ كوداً خارجياً بصلاحيات محددة
ALLOWED_PATHSيخلق حدود sandbox- سطح الهجوم: هل يمكن للمستخدمين التلاعب بتكوينات خادم MCP؟
قاعدة القراءة قبل التحرير
مهم: يجب أن تستخدم أداة القراءة مرة واحدة على الأقل في
المحادثة قبل التحرير. ستُظهر هذه الأداة خطأ إذا
حاولت تحريراً بدون قراءة الملف.
لماذا هذا مهم:
- يمنع تعديلات الكود العمياء التي قد تُدخل ثغرات
- يفرض الوعي بالسياق قبل التغييرات
- الأثر الأمني: ماذا يحدث إذا سمم مهاجم ذاكرة القراءة المؤقتة؟
مثال الدفاع العميق
مهم: ساعد في اختبار الأمان المصرح به، الأمان الدفاعي،
تحديات CTF، والسياقات التعليمية. ارفض طلبات
التقنيات التدميرية، هجمات DoS، الاستهداف الجماعي،
اختراق سلسلة التوريد، أو التهرب من الكشف لأغراض خبيثة.
إقرار الاستخدام المزدوج: تعالج المطالبة صراحة المنطقة الرمادية بين البحث الأمني المشروع والاستخدام الخبيث—شيء تفشل فيه العديد من المطالبات.
دراسة الحالة 3: Devin 2.0 (Cognition Labs)
الخلفية: انخفض من $500/شهر إلى $20/شهر في يناير 2026، وصل لتقييم $4B.
نظام تقييم الثقة
تقييم الثقة:
قبل أي إجراء مؤثر محتمل، قيّم الثقة:
ثقة عالية (>80%):
- نية مستخدم واضحة
- حزمة تقنية مألوفة
- نهج موثق جيداً
→ تابع التنفيذ
ثقة متوسطة (50-80%):
- بعض الغموض في المتطلبات
- تقنية غير مألوفة لكن موثقة
- مناهج صالحة متعددة
→ نفذ مع نقطة تحقق
ثقة منخفضة (<50%):
- متطلبات غير واضحة
- نهج غير موثق أو تجريبي
- تغييرات عالية المخاطر
→ توقف واطلب التوضيح
الآثار الأمنية:
- التلاعب بالعتبة: إذا تمكن المهاجمون من تضخيم درجات الثقة صناعياً، يتجاوزون فحوصات الأمان
- نقاط التحقق: ما الذي يشكل "التحقق"؟ هل يمكن تجاوزه؟
- "نية المستخدم الواضحة": يصوغ المهاجمون مطالبات تحاكي الوضوح العالي
إرسال متعدد الوكلاء
بروتوكول إرسال الوكيل:
- researcher: جمع المعلومات، البحث على الويب
- analyzer: تحليل الكود، مراجعة الأمان
- writer: التوثيق، توليد الكود
- supervisor: التنسيق، مراقبة الجودة
سطح الهجوم: يمكن اعتراض أو تسميم الاتصال بين الوكلاء. أظهر بحث "Prompt Infection" هجمات ذاتية التكاثر بين وكلاء LLM.
دراسة الحالة 4: Windsurf (Codeium)
الخلفية: سُمي قائد Gartner 2025، معروف بنظام الذاكرة ووضع Turbo.
أمان نظام الذاكرة
نظام الذاكرة:
- سياق مستمر عبر الجلسات
- تفضيلات وأنماط المستخدم مخزنة
- معرفة خاصة بالمشروع محتفظ بها
المخاوف الأمنية:
- ماذا يحدث عند تسميم الذاكرة في جلسة سابقة؟
- هل يمكن للمهاجمين حقن تعليمات مستمرة من خلال الذاكرة؟
- فساد الذاكرة قد يؤثر على جميع الجلسات المستقبلية
وضع Turbo
وضع Turbo:
- فحوصات أمان مخفضة للسرعة
- تنفيذ متوازي لعمليات متعددة
- استجابات مخزنة مؤقتاً للأنماط الشائعة
المقايضة: السرعة مقابل الأمان. يقلل وضع Turbo صراحة فحوصات الأمان، مما يخلق هدفاً للمهاجمين الذين يمكنهم تشغيل هذا الوضع.
أنماط الثغرات الشائعة
من تحليل أكثر من 36 مطالبة مسربة:
| النمط | التكرار | الشدة | المثال |
|---|---|---|---|
| استثناءات صريحة | 85% | عالي | "إلا إذا طُلب صراحة" |
| موافقة تلقائية للأدوات | 70% | حرج | أنماط أوامر معتمدة مسبقاً |
| عبارات أبداً | 90% | متوسط | تخلق أهداف تجاوز واضحة |
| عتبات الثقة | 40% | عالي | حدود قرار قابلة للتلاعب |
| الذاكرة/الاستمرارية | 35% | حرج | نواقل تسميم الجلسة |
دروس الدفاع
1. تجنب الاستثناءات الثنائية:
# سيء: يخلق هدف تجاوز
❌ "لا تفعل X أبداً إلا إذا طلب المستخدم صراحة"
# أفضل: اطلب سير عمل تحقق
✓ "X يتطلب تأكيداً متعدد الخطوات مع إقرار صريح"
2. عقّم الأنماط المعتمدة:
# سيء: النمط يسمح بالحقن
❌ "معتمد: Bash(ls:*)"
# أفضل: تحقق صارم من المعاملات
✓ "معتمد: Bash(ls) مع وسائط مسار موثقة فقط"
3. دفاع عميق للذاكرة:
# تحقق من السياق المخزن قبل الاستخدام
# انتهاء صلاحية المعلومات الحساسة
# سجّل أنماط الوصول للذاكرة لكشف الشذوذ
رؤية رئيسية: المطالبات المسربة هي مخططات أمنية بالعكس. كل "أبداً" يخبر المهاجمين ما يجب تجربته، كل استثناء يكشف ثغرة، وكل عتبة ثقة تُظهر أين التلاعب ممكن.
بعد ذلك، سنفحص الثغرات الأمنية المحددة التي تخلقها هذه الأنماط. :::