
اختراقات أمن الذكاء الاصطناعي في 2025 كشفت كذبة بتريليون دولار — وأنا بنيتُ البديل
كنت في مكالمة مع مدير أمن المعلومات (CISO) في شركة خدمات مالية متوسطة الحجم عندما صدر الإفصاح عن ثغرة تنفيذ التعليمات البرمجية عن بُعد (RCE) في GitHub Copilot. كنا في منتصف جملة — كان يشرح لماذا طرح فريقه للتو Copilot على 400 مطوّر — وشاهدت ملامح وجهه تتغيّر بينما اشتعل حسابه على Slack. كتم صوته. عاد بعد تسعين ثانية وقال، بهدوء شديد: "هل يمكنك أن تشرح ماذا تعني CVE-2025-53773 بالنسبة لنا؟"
كان المعنى هو التالي: تعليمة مخفية مزروعة في ملف README — ملف نصي — يمكن أن تتصاعد إلى تنفيذ كامل للتعليمات البرمجية عن بُعد على كل محطة عمل مطوّر تعمل عليها Copilot. ليس عبر تجاوز سعة المخزن المؤقت. وليس عبر ثغرة يوم صفر في النواة. بل عبر محادثة مع مساعد ذكاء اصطناعي.
تلك المكالمة غيّرت مسار الأشهر الستة التالية من حياتي. لكن بصراحة، كانت العلامات واضحة للعيان منذ أكثر من عام.
أنا أشوتوش، مؤسس Veriprajna — وهو اسم مشتق من الكلمة اللاتينية Veri (الحقيقة) والكلمة السنسكريتية Prajna (الحكمة). نحن نبني ما أسميه الذكاء الاصطناعي العميق (Deep AI): أنظمة حتمية بحكم التصميم، وقابلة للتدقيق بحكم المتطلبات، وسيادية بحكم البنية التحتية. نحن لا نبني أغلفة (wrappers). وقد أثبت عام 2025، بشكل كارثي، لماذا يهمّ هذا التمييز.
اقتصاد الأغلفة كان لا بد أن ينهار
على مدى عامين تقريبًا، عمل سوق الذكاء الاصطناعي المؤسسي وفق فرضية مغرية: خُذ نموذجًا أساسيًا — GPT-4 أو Claude أو Gemini — ولُفّ حوله واجهة أنيقة، وأضف بعض هندسة المطالبات (prompt engineering)، ثم بِعه بوصفه "حلاً". آلاف الشركات الناشئة فعلت ذلك بالضبط. وكثير منها جمع أموالاً طائلة من ورائه.
كنت أتفهّم جاذبية الأمر. الزمن اللازم للوصول إلى عرض توضيحي كان مذهلاً. كان بإمكانك أن تُري مجلس إدارة ذكاءً اصطناعيًا "يفهم" أعمالهم في غضون أسبوع. لكنني ظللت أطرح سؤالاً جعلني غير محبوب في فعاليات القطاع: ماذا يحدث عندما يعمل هذا الشيء في بيئة الإنتاج، بصلاحيات حقيقية، على بنية تحتية حقيقية؟
وصل الجواب في عام 2025، ووصل بعنف.
ثلاث حوادث — ثغرة تنفيذ التعليمات البرمجية عن بُعد في GitHub Copilot، وتسريب "البيانات الزومبي" عبر الذاكرة المؤقتة لـ Microsoft Bing، وتسميم سلسلة التوريد في Amazon Q — أثّرت مجتمعةً على أكثر من 16,000 مؤسسة وما يقارب مليون مطوّر. لم تكن هذه حالات هامشية. لقد كانت النتيجة المتوقعة لنشر أنظمة احتمالية وكأنها بنية تحتية حتمية.
عندما يعمل الذكاء الاصطناعي كوكيل غير مراقَب يملك صلاحيات إدارية، فإن إخفاقاته تنتشر بسرعة البنية التحتية.
كتبت عن التشريح التقني الكامل لهذه الاختراقات في النسخة التفاعلية من بحثنا. لكن القصة الكامنة خلف الأرقام هي ما يُبقيني مستيقظًا في الليل.
ماذا يحدث عندما تتحول المطالبة إلى سلاح؟

دعني أستعرض معك حادثة Copilot، لأن آلية عملها مُرعبة حقًا.
حصلت CVE-2025-53773 على درجة 7.8 على مقياس خطورة CVSS — أي "عالية". وكانت فئة الثغرة شيئًا اضطر القطاع إلى ابتكار اسم له: Prompt-to-RCE. أي تصعيد تعليمة لغوية إلى تنفيذ لتعليمات برمجية ثنائية.
إليك كيف عمل الأمر. يزرع المهاجم تعليمة مخفية — حقن مطالبات عابر (cross-prompt injection) — داخل ملف README، أو تعليق في الكود، أو حتى في issue على GitHub. لا شيء مريب بصريًا. وعندما يطلب المطوّر من Copilot أن "يراجع الكود" أو "يشرح هذا المشروع"، يبتلع الذكاء الاصطناعي تلك التعليمات المخفية. ثم يعدّل ملف إعدادات مساحة العمل، وتحديدًا بإضافة السطر "chat.tools.autoApprove": true.
بدأ مجتمع الأمن يطلق على هذا اسم "وضع YOLO." وبمجرد تفعيله، أصبح بإمكان مساعد الذكاء الاصطناعي تنفيذ أوامر shell، وتصفح الويب، والتفاعل مع نظام الملفات المحلي — كل ذلك دون أن يطلب إذنًا من المطوّر. ومن هناك، كان تنزيل البرمجيات الخبيثة أو تسريب بيانات الاعتماد أو ضم محطة العمل إلى شبكة بوتنت (botnet) أمرًا تافهًا.
أتذكر أنني جلست في مكتبنا بعد قراءة الإفصاح الكامل، والتفتّ إلى كبير مهندسي الأمن لديّ وقلت: "هذا ليس خللاً برمجيًا. هذه هي البنية المعمارية وهي تعمل كما صُمِّمت." لقد مُنح الذكاء الاصطناعي وكالةً. ومُنح صلاحيات. ولم يبنِ أحد نظامًا قادرًا على قول "لا" لمطالبة مقنعة بما فيه الكفاية.
هذا هو الجزء الذي ظل يطاردني. ضوابط الوصول التقليدية تفترض أن الفاعل إما إنسان أو برنامج ذو سلوك ثابت. أما وكيل الذكاء الاصطناعي فليس أيًا منهما. إنه يرث صلاحيات المستخدم كاملة لكنه يستجيب للتلاعب اللغوي. الأمر أشبه بأن تعطي شخصًا مفاتيح منزلك ثم تتفاجأ حين يقنعه محتال بفتح الباب.
لماذا عادت البيانات الميتة إلى الحياة؟
كان الاختراق الثاني أغرب، ومن بعض النواحي، أكثر إثارة للقلق.
في فبراير 2025، اكتشف باحثون في Lasso Security أن Copilot من Microsoft كان يُظهر بيانات من مستودعات GitHub جُعلت خاصة أو حُذفت — أحيانًا قبل أشهر. أطلقوا عليها اسم "البيانات الزومبي"، والتصق الاسم بها لأنه كان دقيقًا. كانت هذه بيانات يُفترض أنها ميتة. لكنها لم تكن كذلك.
كانت الآلية بسيطة إلى حد محرج تقريبًا. فقد زحف محرك بحث Bing إلى آلاف المستودعات العامة وخزّنها مؤقتًا. وعندما جُعلت تلك المستودعات خاصة لاحقًا — غالبًا لأن أحدهم أدرك أنه أودع عن طريق الخطأ مفاتيح API أو وثائق داخلية أو كودًا مملوكًا — بقيت النسخ المخزّنة مؤقتًا في نظام التوليد المعزز بالاسترجاع (RAG) الخاص بـ Bing. وكان بإمكان أي شخص يستخدم Copilot أن يستعلم عن تلك المعلومات المفترض أنها محذوفة.
كان حجم التسريب مذهلاً: مستودعات خاصة من IBM وGoogle وTencent وPayPal. وأكثر من 300 رمز خاص ومفتاح API مستخرج لخدمات مثل AWS وGCP وOpenAI وHugging Face. وأكثر من 100 حزمة داخلية معرّضة لهجمات إرباك التبعيات (dependency confusion).
أجريت محادثة مع أحد العملاء المحتملين في تلك الفترة — نائب رئيس الهندسة في شركة رعاية صحية — أخبرني أن فريقه فعل "كل شيء بشكل صحيح". لقد دوّروا بيانات الاعتماد، وجعلوا المستودعات خاصة، واتّبعوا الدليل. ولم يُجدِ أي من ذلك نفعًا، لأن ذاكرة الذكاء الاصطناعي كانت أطول من استجابتهم الأمنية.
سيادة البيانات وراحة الذكاء الاصطناعي تتعارضان جوهريًا في نموذج الأغلفة. لا يمكنك التحكم في دورة حياة بياناتك عندما تكون نافذة سياق ذكائك الاصطناعي هي ذاكرة بحث مؤقتة يملكها شخص آخر.
هذا هو الاختراق الذي بلوَر شيئًا كنت أجادل به منذ فترة: إذا كان ذكاؤك الاصطناعي يعتمد على نظام استرجاع تابع لطرف ثالث — محرك بحث عام، أو واجهة برمجة تطبيقات خارجية، أو فهرس يملكه شخص آخر — فأنت قد فقدت بالفعل السيطرة على بياناتك. لا يهم كم هي جيدة سياساتك الداخلية. البيانات تعيش في مكان لا تستطيع الوصول إليه، في ذاكرة مؤقتة لا تستطيع مسحها، وتقدّم إجابات عن أسئلة لم تأذن بها قط.
كيف تسمّم اقتراحات ذكاء اصطناعي على نطاق واسع؟
كانت الحادثة الثالثة هي التي أغضبت فريقي بأكمله.
في يوليو 2025، اخترق مهاجم امتداد Amazon Q Developer الخاص بـ Visual Studio Code — وهو امتداد يتجاوز عدد تثبيتاته 950,000. وكانت نقطة الدخول رمز GitHub محدَّد النطاق بشكل غير سليم في خدمة CI/CD، مما سمح للمهاجم بإيداع ملف يُسمى cleaner.md مباشرة في مستودع الشيفرة المصدرية.
كان ذلك الملف قالب مطالبة. بدا غير مؤذٍ. لكنه أوعز إلى الذكاء الاصطناعي بأن يتصرف كـ"منظِّف نظام" — مقترحًا أوامر Bash من شأنها مسح الدليل الرئيسي للمستخدم، وإنهاء مثيلات EC2، وحذف حاويات S3، وإزالة مستخدمي IAM.
دع ذلك يترسّخ في ذهنك. ملف نصي في مستودع موثوق، وُزّع عبر تحديث من المتجر الرسمي، حوّل مساعد برمجة بالذكاء الاصطناعي إلى سلاح مصوَّب نحو الأجهزة المحلية والبنية التحتية السحابية الإنتاجية على حد سواء.
كنت في اجتماع للفريق ونحن نشرّح هذا الأمر. أحد مهندسيّ — شخص يعمل في مجال الأمن منذ خمسة عشر عامًا — قالها بصراحة: "لقد أمضينا عقودًا في تأمين الملفات الثنائية والحاويات ومحيطات الشبكة. لم يؤمّن أحد الاقتراحات."
كان محقًا. أثبت اختراق Amazon Q أن المطالبات هي الكود الجديد. فهي تشكّل سلوك الذكاء الاصطناعي بالحسم نفسه الذي تشكّل به التعليمات المُصرَّفة سلوك وحدة المعالجة المركزية. ومع ذلك، وعلى امتداد القطاع، كانت قوالب المطالبات تُخزَّن كنص عادي، وتُودَع دون مراجعة، وتُوزَّع دون توقيع تشفيري.
يسألني الناس أحيانًا إن كانت هذه الحوادث خطيرة إلى هذا الحد فعلاً — فقد جرى اكتشافها وترقيعها في النهاية. لكن ذلك يُغفل جوهر الأمر تمامًا. الترقيعات أصلحت ثغرات محددة. لكنها لم تُصلح البنية المعمارية التي جعلت تلك الثغرات حتمية.
المشكلة الجوهرية في الذكاء الاصطناعي الاحتمالي داخل البيئات عالية المخاطر
إليك الحقيقة المزعجة التي لم يرغب اقتصاد الأغلفة قط في مواجهتها: النماذج اللغوية الكبيرة محركات عشوائية (stochastic). إنها تتنبأ بالرمز (token) التالي الأكثر احتمالاً استنادًا إلى الأنماط الإحصائية في بيانات تدريبها. وهي بارعة إلى حد استثنائي في إنتاج نص سلس ومقنع الظاهر. لكن ليس لديها أي مفهوم للحقيقة. وليس لديها أي مفهوم للسلامة. وليس لديها أي مفهوم لعبارة "هذا الإجراء سيدمّر قاعدة بيانات إنتاجية".
عندما تلفّ واجهة رقيقة حول نموذج احتمالي وتمنحه صلاحيات إدارية، فأنت لم تبنِ حلاً مؤسسيًا. لقد بنيت مسؤولية قانونية بالغة الفصاحة.
النموذج اللغوي الكبير لا يفهم الحقيقة — إنه يفهم المعقولية. وفي بيئة الإنتاج، هذا التمييز هو الفرق بين سجل تدقيق وتقرير اختراق.
هذه هي المشكلة التي أسست Veriprajna لحلها. ليس بالتخلي عن الشبكات العصبية — فهي قوية حقًا في فهم اللغة الطبيعية والتعرف على الأنماط والاستدلال الإبداعي. بل برفض تركها تعمل بمفردها.
كيف تبدو البنية العصبية-الرمزية في الواقع؟

نحن نصمم أنظمة هجينة تدمج نمطين متمايزين من الذكاء. أفكر فيهما بوصفهما الصوت والدماغ.
النظام العصبي — الصوت — يتولى الإدراك. فهو يفهم ما يطلبه المطوّر، ويفسّر اللغة الطبيعية، ويتعرّف على الأنماط. إنه طبقة الواجهة، وهو ممتاز فيما يفعله.
النظام الرمزي — الدماغ — يتولى الاستدلال. فهو يفرض منطقًا حتميًا، وحسابات قابلة للتدقيق، وقيودًا خاصة بالمجال. إنه لا يتنبأ. إنه يُثبت.
الفكرة الجوهرية هي الفصل. فعندما يقترح الصوت إجراءً — لنقل توليد أمر shell — يفحصه الدماغ مقابل قواعد منطقية صارمة قبل التنفيذ. وإذا اقترح نموذج عصبي حذف قاعدة بيانات في شبكة VPC إنتاجية، يعترض المحرك الرمزي عليه. ليس لأن أحدهم كتب مطالبة تقول "من فضلك لا تحذف قواعد البيانات". بل لأن الإجراء محظور فيزيائيًا على المستوى المعماري.
نحن نسمي هذه الضوابط الدستورية، وهي مختلفة جوهريًا عن الضوابط اللغوية التي يعتمد عليها القطاع. الضوابط اللغوية هي تعليمات — "كن مفيدًا وغير ضار". ويمكن الالتفاف عليها عبر كسر القيود (jailbreaking)، وعبر حقن المطالبات غير المباشر، وعبر التقنيات نفسها التي غذّت اختراقات 2025. أما الضوابط المعمارية فهي قيود مضمّنة في بيئة التشغيل. ولا يمكن إقناعها بالتخلي عن فرض قاعدة، تمامًا كما لا يمكن إقناع جدار حماية بالتوقف عن حجب منفذ.
إحدى الآليات المحددة التي نستخدمها هي التحقق عبر KG-Trie: يُقيَّد ناتج النموذج العصبي برسم بياني معرفي (Knowledge Graph) مُتحقَّق منه. وإذا حاول النموذج توليد حقيقة أو استشهاد أو أمر غير موجود ضمن الرسم البياني المُتحقَّق منه، يمنع النظام توليد تلك الرموز. الذكاء الاصطناعي حرفيًا لا يستطيع الهلوسة خارج حدود المعرفة المُتحقَّق منها.
للاطلاع على التفصيل التقني الكامل لهذه البنية، بما في ذلك نهجنا في النشر الأصيل على الحافة (edge-native) والشبكات العصبية المستنيرة بالفيزياء، انظر تحليلنا التقني المعمّق.
لماذا لم تعد البنية التحتية السيادية اختيارية
علّمني اختراق البيانات الزومبي شيئًا أكرره الآن على كل عميل مؤسسي محتمل: إذا كان نموذج الذكاء الاصطناعي لديك يعمل على بنية تحتية يملكها شخص آخر، فإن سيادتك على بياناتك مجرد وهم مهذَّب.
في Veriprajna، ننشر بالكامل داخل بيئة العميل نفسه. لا اعتماد إطلاقًا على ذاكرات بحث مؤقتة خارجية. ولا استدعاءات لواجهات برمجة تطبيقات من طرف ثالث لأغراض الاسترجاع. نظام مغلق الحلقة يكون فيه سياق الذكاء الاصطناعي بالضبط — وفقط — ما وفّرته المؤسسة صراحةً.
هذا ليس جنون ارتياب. إنها البنية الوحيدة التي تجعل تسريبات "البيانات الزومبي" مستحيلة تقنيًا. لا يمكن أن تعاني من مشكلة بقاء ذاكرة مؤقتة إذا لم تكن هناك ذاكرة مؤقتة خارجية أصلاً.
خضت نقاشًا حادًا مع مستثمر في وقت مبكر أخبرني أن هذا النهج "ثقيل أكثر من اللازم". قال إن السوق يريد حلولاً خفيفة وسريعة قائمة على استدعاءات API. فقلت له إن السوق يريد حلولاً تعمل — وأن ثقل النشر السيادي لا يساوي شيئًا مقارنةً بثقل أن تشرح لجهة تنظيمية لماذا كانت بيانات اعتمادك المحذوفة لا تزال تجيب عن الأسئلة عبر ذكاء اصطناعي يملكه شخص آخر.
لم يستثمر. ولا ألومه على ذلك. لكنني ألاحظ أنه لم يعد يسوق تلك الحجة.
هل يستطيع القطاع إصلاح هذا فعلاً؟
تُقرأ قائمة OWASP لأهم 10 مخاطر لتطبيقات النماذج اللغوية الكبيرة لعام 2025 وكأنها تشريح لكل ما ساء هذا العام. حقن المطالبات يحتل المرتبة الأولى. الكشف عن المعلومات الحساسة في المرتبة الثانية. سلسلة التوريد في الثالثة. الوكالة المفرطة — وهي نمط الإخفاق نفسه في ثغرة RCE الخاصة بـ Copilot — في المرتبة السادسة.
هذه ليست مخاطر نظرية. إنها الأسباب الموثَّقة لاختراقات حقيقية أثّرت على مؤسسات حقيقية.
إطار NIST لإدارة مخاطر الذكاء الاصطناعي يتطور في الاتجاه الصحيح، إذ يدفع المؤسسات نحو حوكمة مستمرة بدلاً من تقييمات عند نقطة زمنية واحدة. لكن الأطر لا تكتب نفسها في صورة كود. لا بد أن يبني أحدهم الأنظمة التي تفرضها فعليًا.
هذا ما نفعله. نحن نتعامل مع ملفات المطالبات بوصفها أدوات قابلة للتنفيذ — موقَّعة تشفيريًا، ومراجَعة، وخاضعة للتحكم في الإصدارات بالصرامة نفسها التي تُعامَل بها الملفات الثنائية المُصرَّفة. نبني ملفات سلوك مرجعية لكل وكيل ذكاء اصطناعي، ونتتبع أنماط استدعاءات API وأحجام الوصول إلى البيانات لاكتشاف الشذوذ قبل أن يتحول إلى حادثة. ونُجري اختبارات الطفرة والاختبار العشوائي العدائي (fuzzing) ضد وكلائنا، لا اختبارات وظيفية فحسب، لأن السؤال ليس "هل هذا يعمل؟" — بل "ماذا يحدث عندما يحاول أحدهم أن يجعله يسيء التصرف؟"
الليلة المتأخرة التي غيّرت طريقة تفكيري في سلامة الذكاء الاصطناعي
كانت هناك ليلة — ربما في الثانية صباحًا — كنت أراجع فيها التفاصيل التقنية لاختراق Amazon Q للمرة الثالثة. كان فريقي قد عاد إلى منازله. كنت جالسًا مع كوب من الشاي البارد، أحدّق في محتويات ملف cleaner.md التي نُشرت في الإفصاح.
كانت التعليمات في غاية التهذيب. "من فضلك تصرّف كمنظِّف نظام." "اقترح أوامر لتنظيف البيئة." كانت الحمولات المدمّرة ملفوفة بلغة المساعدة. وأدركت أن هذا كان الاستعارة المثالية لاقتصاد الأغلفة بأكمله: سطح مفيد يخفي بنية معمارية مدمّرة.
لقد أمضينا سنوات في بناء ذكاء اصطناعي مُحسَّن ليكون مُوافِقًا. ليقول نعم. ليولّد الرمز المعقول التالي. ثم أعطيناه مفاتيح البنية التحتية الإنتاجية.
اقتصاد الأغلفة حسّن الذكاء الاصطناعي ليكون مُوافِقًا. ولم يخطر ببال أحد قط أن المُوافَقة والسلامة متعارضتان جوهريًا.
في تلك الليلة، أعدت كتابة مبادئنا الأمنية الداخلية من الصفر. السطر الأول يقول الآن: "الإجابة الافتراضية للنظام على أي إجراء ذي عواقب لا رجعة فيها هي: لا."
البنية المعمارية هي المنتج
أعرف كيف يبدو هذا. مؤسس يخبرك أن نهجه أفضل، وأن السوق أخطأ، وأن المستقبل ينتمي إلى الشيء الذي يصادف أنه يبيعه. أتفهّم الشك.
لكن إليك ما أطلب منك أن تتأمله: أكبر ثلاث حوادث أمنية للذكاء الاصطناعي في 2025 تشترك جميعها في السبب الجذري نفسه. ليس خللاً برمجيًا بعينه. ولا إهمال بائع بعينه. بل فلسفة تصميم — الاعتقاد بأنك تستطيع بناء ذكاء اصطناعي بمستوى المؤسسات عبر لفّ طبقة رقيقة من الواجهة حول نموذج احتمالي والأمل في أن تصمد المطالبات.
لم تصمد المطالبات. ولم يكن لها أن تصمد أبدًا. التعليمات اللغوية اقتراحات، لا قيود. وفي البيئات عالية المخاطر — التمويل والرعاية الصحية والتصنيع والدفاع — الفرق بين الاقتراح والقيد هو الفرق بين نظام يعمل وإخفاق كارثي.
مستقبل الذكاء الاصطناعي المؤسسي ليس غلافًا أفضل. إنه بنية معمارية تفصل الصوت عن الدماغ، وتفرض القيود على مستوى بيئة التشغيل، وتُبقي البيانات سيادية، وتتعامل مع كل إجراء للذكاء الاصطناعي بوصفه بنية تحتية قابلة للتدقيق — لا رسالة دردشة تختفي في ملف سجل.
لم أبنِ Veriprajna لأنني ظننت أن اقتصاد الأغلفة سينهار. بنيته لأنني كنت أعرف أنه لا بد أن ينهار.


