تقنيات استخراج المطالبات
لماذا تتسرب المطالبات النظامية
أصبح تسرب المطالبات النظامية أحد أهم المخاوف الأمنية في نشر الذكاء الاصطناعي. في 2025، أضافت OWASP "تسرب المطالبات النظامية" كإدخال جديد في قائمة LLM Top 10، معترفة به كفئة ثغرات مستقلة.
حجم المشكلة
جمع مستودعان على GitHub مطالبات مسربة من أكثر من 36 أداة ذكاء اصطناعي رئيسية:
- awesome-ai-system-prompts (أكثر من 106 آلاف نجمة): ChatGPT، Claude، Gemini، Cursor، v0، Copilot، Perplexity
- leaked-system-prompts (24.8 ألف نجمة): Devin، Manus، Windsurf، Lovable، Same.dev
تكشف هذه التسريبات تعليمات ملكية، وحواجز أمان، وتكوينات أدوات، وقرارات معمارية بقيمة ملايين الدولارات في البحث والتطوير.
لماذا المطالبات أهداف قيّمة
| نوع الأصل | ما يتعلمه المهاجمون |
|---|---|
| حواجز الأمان | كيفية تجاوز قيود المحتوى |
| تعريفات الأدوات | الوظائف والمعاملات المتاحة |
| تعليمات الشخصية | كيفية التلاعب بالسلوك |
| حدود المعدل | قيود النظام للاستغلال |
| البنية | أنماط تنسيق الوكلاء المتعددين |
حوادث واقعية (2025)
مارس 2025 - شركة خدمات مالية من Fortune 500: سرّب ذكاء اصطناعي لخدمة العملاء بيانات حسابات حساسة لأسابيع من خلال حقن مطالبات مصممة بعناية. التكلفة: ملايين في الغرامات التنظيمية.
يوليو-أغسطس 2025 - موجة تسرب بيانات عالمية: كشفت تطبيقات LLM متعددة سجلات محادثات المستخدمين، وبيانات الاعتماد، وبيانات تطبيقات الطرف الثالث من خلال هجمات حقن المطالبات.
CVE-2025-54135/54136 - Cursor IDE: أدى حقن المطالبات غير المباشر في ملفات GitHub README إلى تنفيذ كود عن بُعد. ضمّن المهاجمون تعليمات خبيثة في التوثيق العام.
لماذا ينجح الاستخراج
تعاني نماذج اللغة الكبيرة من قيد تصميمي جوهري: لا يمكنها التمييز بشكل موثوق بين:
- تعليمات النظام (من المطورين)
- إدخال المستخدم (قد يكون خبيثاً)
- المحتوى المسترجع (من RAG/الأدوات)
هذا يسمى مشكلة ارتباك السياق.
┌─────────────────────────────────────────┐
│ نافذة سياق نموذج اللغة │
├─────────────────────────────────────────┤
│ [مطالبة النظام] ← ثقة المطور │
│ [رسالة المستخدم] ← ثقة المستخدم │
│ [محتوى RAG] ← ثقة خارجية │
│ │
│ النموذج يعامل الكل كنص للمعالجة │
│ لا يمكن التحقق من المصدر/النية الحقيقية │
└─────────────────────────────────────────┘
منظور OWASP LLM Top 10 2025
يبقى حقن المطالبات #1 في OWASP LLM Top 10 2025. الفئات الرئيسية:
| الترتيب | الثغرة | العلاقة بالاستخراج |
|---|---|---|
| LLM01 | حقن المطالبات | ناقل الاستخراج الرئيسي |
| LLM07 | تسرب المطالبات النظامية | جديد في 2025 - استخراج مباشر |
| LLM04 | تسميم البيانات والنموذج | يمكن تضمين حمولات الاستخراج |
| LLM08 | نقاط ضعف Vector والتضمين | استخراج قائم على RAG |
واقع البحث
"من المنعش رؤية مختبر بحثي رئيسي آخر يستنتج أن حقن المطالبات يظل مشكلة غير محلولة، ومحاولات حجبها أو تصفيتها لم تثبت موثوقيتها بما يكفي للاعتماد عليها." — سيمون ويليسون، أكتوبر 2025
اختبرت ورقة "المهاجم يتحرك ثانياً" (أكتوبر 2025) من OpenAI وAnthropic وGoogle DeepMind 12 دفاعاً منشوراً وتجاوزتها بـنسبة نجاح تتجاوز 90%.
التأثير التجاري
يمكن أن يؤدي كشف المطالبات النظامية إلى:
- الاستخبارات التنافسية - يتعلم المنافسون بنية الذكاء الاصطناعي لديك
- تجاوز الأمان - يعرف المهاجمون حواجزك
- انتهاكات تنظيمية - قانون الذكاء الاصطناعي الأوروبي (أغسطس 2025) يتطلب الشفافية
- ضرر السمعة - كشف عام للتعليمات الداخلية
- المسؤولية - إذا مكّنت المطالبات المسربة مخرجات ضارة
رؤية رئيسية: المطالبات النظامية ليست أسراراً، لكن كشفها يكشف أسطح الهجوم. الهدف ليس السرية المثالية—بل الدفاع العميق الذي يفترض حدوث التسرب.
بعد ذلك، سنستكشف التقنيات المحددة التي يستخدمها المهاجمون لاستخراج المطالبات النظامية. :::