تبدأ معظم الحوادث الأمنية ببرمجية خبيثة. لكن الحوادث المفصلية التي عرّفت عام 2026 في مجال الذكاء الاصطناعي لم تبدأ كذلك. بدأت بوكيل ذكاء اصطناعي يؤدي بالضبط ما صُمّم من أجله — قراءة محتوى خارجي والتصرف بناءً عليه — بعد أن أوعز إليه ذلك المحتوى بهدوء أن يفعل شيئًا آخر. لم يعد أمن وكلاء الذكاء الاصطناعي هاجسًا نظريًا في شريحة عرض تقديمي، بل هو أسرع أسطح الهجوم نموًا داخل المؤسسات، وقد قضت الصناعة النصف الأول من العام تتعلم ذلك بالطريقة الصعبة.
إذا كان عام 2025 هو العام الذي تسابقت فيه الشركات لدفع الوكلاء إلى بيئة الإنتاج، فإن عام 2026 هو العام الذي حان فيه موعد دفع الفاتورة. والإجماع غير المريح بين الباحثين الأمنيين صريح: الثغرة ليست خطأ في الإعدادات يمكن ترقيعه، بل هي ثغرة بنيوية في صميم النظام.
حقن التعليمات تحوّل من حالة هامشية إلى أبرز التهديدات
التحوّل الأبرز هو أن حقن التعليمات (Prompt Injection) — أي إخفاء تعليمات داخل بيانات سيقرؤها الوكيل — تجاوز هذا العام كل فئة أخرى من حوادث أمن الذكاء الاصطناعي في بيئات المؤسسات. فقد أفاد باحثون في Google يراقبون محتوى الويب بتسجيل ارتفاع بنسبة 32% في حمولات حقن التعليمات الخبيثة المضمّنة داخل صفحات الويب بين نوفمبر 2025 وفبراير 2026، وفقًا للتغطية الإعلامية لنتائجهم.
ولماذا الآن؟ لأن الوكلاء أصبحت لهم أنياب أخيرًا. فالوكيل الذي لا يستطيع سوى الدردشة يكون غالبًا غير ضار حتى لو خدعته. أما الوكيل القادر على قراءة بريدك الإلكتروني والاستعلام من قاعدة بياناتك واستدعاء واجهات برمجية خارجية فهو كائن مختلف تمامًا. وقد أصبح توصيف الباحث الأمني Simon Willison لما سمّاه "الثلاثية القاتلة" (lethal trifecta) هو النموذج الذهني المعياري: يظهر الخطر حين يجتمع لدى وكيل واحد العناصر الثلاثة معًا — الوصول إلى بيانات خاصة، والتعرّض لمحتوى غير موثوق، والقدرة على التواصل مع الخارج. وعند توفر العناصر الثلاثة، تتحوّل تعليمة مخفية في صفحة ويب أو مستند إلى ناقل كامل لاختراق النظام.
الفكرة الجوهرية التي يغفل عنها الفرق مرارًا: النموذج لا يعطب عندما يحدث ذلك، بل يتّبع التعليمات. هو ببساطة لا يستطيع التمييز بشكل موثوق بين تعليماتك أنت والتعليمات التي هُرّبت إلى داخل البيانات التي طُلب منه معالجتها.
بروتوكول MCP هو النسيج الرابط — وهو أيضًا نقطة الضعف
أصبح بروتوكول Model Context Protocol (MCP) الطريقة الافتراضية لربط الوكلاء بالأدوات في عام 2025، وفي عام 2026 صار الخيط الناظم لكل حادثة كبرى تقريبًا. البروتوكول نفسه معقول؛ لكن طرق نشره ليست كذلك.
والأرقام صادمة. فوفقًا لتقرير لخّصه موقع Cyberdesserts، وجدت شركة Trend Micro 492 خادم MCP مكشوفًا على الإنترنت دون أي مصادقة، فيما رصدت SecurityScorecard أكثر من 135,000 نسخة تعمل بإعدادات افتراضية غير آمنة. وتوصي مواصفات MCP باستخدام OAuth 2.1، لكن في غمار التسابق على الإطلاق، تجاوزت معظم التطبيقات المصادقة بالكامل. وقد أصبحت مفاتيح الـ API المخزّنة كنص صريح في ملفات إعداد مثل .claude/settings.json و~/.clawdbot/.env ناقلًا رئيسيًا للهجوم.
تسميم الأدوات وهجمات سلسلة التوريد
الهجوم الذي يجدر أن يقلقك أكثر من غيره هو تسميم الأدوات (Tool Poisoning). فبإمكان خادم MCP خبيث أن ينتحل صفة أداة موثوقة، وبإمكان قالب مسمَّم أن يعيد كتابة سلوك الوكيل بصمت. وهذا ليس افتراضًا نظريًا:
- تسميم ClawHub: أكّدت Antiy CERT وجود 1,184 مهارة خبيثة عبر ClawHub، وهو سوق إطار عمل الوكلاء OpenClaw — ووُصف بأنه أكبر هجوم على سلسلة التوريد يستهدف بنية الوكلاء حتى الآن. وفي ذروة الإصابة، تبيّن أن خمسًا من أكثر سبع مهارات تنزيلًا كانت برمجيات خبيثة مؤكدة.
- تنفيذ تعليمات عن بُعد في Claude Code: كشفت Check Point Research عن ثغرات حقن إعدادات (مُتتبَّعة برمز CVE-2025-59536، بدرجة CVSS 8.7) تتيح للمهاجمين حقن خطافات (hooks) خبيثة عبر ملفات إعداد مستودعات مسمَّمة وتجاوز ضمانات MCP.
الدرس المستفاد: المكوّنات التي يحمّلها وكيلك ديناميكيًا — الأدوات والإضافات وخوادم MCP وقوالب التعليمات — صارت الآن جزءًا من سطح الهجوم لديك، ومع ذلك تتعامل معها معظم الفرق على أنها موثوقة افتراضيًا.
حين تتصرف الوكلاء تمامًا كما صُمّمت
أكثر الحوادث رعبًا ليست استغلالات غريبة وغير مألوفة، بل وكلاء تتصرف على نحو سليم لكن نحو هدف خبيث. ويصف المحللون الأمنيون أول حادثة تشغيلية بارزة في عام 2026 بأنها وكيل مستقل نفّذ سلسلة من الإجراءات أطلقتها تعليمة غامضة عبر MCP — ما أسفر عن فقدان بيانات وتعطّل خدمة دون وجود أي برمجية خبيثة على الإطلاق.
وتجري إساءة الاستخدام في الاتجاه المعاكس أيضًا. ففي اختراق أُبلغ عنه على امتداد أواخر 2025 ومطلع 2026، يُقال إن مهاجمًا أوعز إلى Claude بالإسبانية بأن "يتصرف كقرصان محترف من النخبة"، واستخدمه لاختراق عدة جهات حكومية مكسيكية، فسرّب 195 مليون سجل لدافعي الضرائب و150 جيجابايت من البيانات، فيما ولّد النموذج آلاف التقارير الاستطلاعية التفصيلية. وفي فبراير 2026، صنّف البنتاغون شركة Anthropic "خطرًا على سلسلة التوريد" — لتكون أول شركة ذكاء اصطناعي أمريكية تنال هذا التصنيف — في تأكيد على مدى الجدية التي تُؤخذ بها العواقب الآن.
والنمط المشترك بين كل هذه الحوادث: الوكلاء القادرون يضخّمون أي نيّة تصلهم، مشروعة كانت أم لا.
إطار OWASP الذي ينبغي أن تستخدمه
الخبر السار أن دليل الدفاع نضج بسرعة. فقد أصبحت قائمة OWASP لأبرز عشرة مخاطر للتطبيقات الوكيلة لعام 2026 (OWASP Top 10 for Agentic Applications 2026) هي المرجع المعياري، وهي تسمّي التهديدات تحديدًا بدلًا من حشرها تحت عنوان عام مثل "مخاطر نماذج اللغة الكبيرة". وتشمل القائمة:
- ASI01 — اختطاف هدف الوكيل: إعادة توجيه هدف الوكيل عبر تعليمات محقونة.
- إساءة استخدام الأدوات واستغلالها: استغلال وصول الوكيل المشروع إلى الأدوات.
- ASI03 — إساءة استخدام هوية الوكيل وامتيازاته: وكلاء يملكون صلاحيات مفرطة يفعلون أكثر مما هو مقصود.
- ASI04 — اختراق سلسلة توريد الوكلاء: فئة الأدوات المسمَّمة والقوالب المسمَّمة المذكورة أعلاه.
- تسميم الذاكرة والسياق، والتواصل غير الآمن بين الوكلاء، وإخفاقات الوكلاء المتسلسلة، والوكلاء المارقون.
إن لم تكن مراجعتك الأمنية تطابق وكلاءك مع هذه القائمة، فتلك أول فجوة ينبغي سدّها. فهذا الإطار وُجد تحديدًا لأن قوائم تدقيق أمن التطبيقات التقليدية لا تلتقط أنماط الإخفاق الخاصة بالوكلاء.
قائمة تدقيق دفاعية عملية
لا يمكنك جعل حقن التعليمات مستحيلًا — هذا هو الجزء البنيوي من المشكلة. لكن يمكنك احتواء نطاق الانفجار. وهذه هي الضوابط التي اتفقت عليها الفرق الأمنية في عام 2026:
- صادق على كل خادم MCP. افرض OAuth 2.1 أو على الأقل مصادقة قائمة على الرموز (tokens). لا خوادم بلا مصادقة على الشبكة، داخلية كانت أم لا.
- اكسر الثلاثية القاتلة. صمّم بنيتك بحيث لا يجتمع لدى وكيل واحد الوصول إلى البيانات الخاصة والتعرّض للمحتوى غير الموثوق والتواصل الخارجي في آنٍ واحد. وزّع المسؤوليات على عدة وكلاء بنطاقات ضيّقة.
- تعامل مع الإعدادات كأنها شيفرة برمجية. يجب أن تخضع ملفات الإعداد مثل
settings.jsonللمراجعة وفحص الأسرار نفسه الذي يخضع له الكود المصدري. لا تخزّن المفاتيح كنص صريح أبدًا، وبدّل أي مفتاح لامس نظامًا مصابًا بثغرة. - ثبّت المكوّنات وتحقّق منها. استخدم بيانات تعريف موقّعة (signed manifests) وسجلات منسّقة وتثبيت الإصدارات وبصمات سلامة (integrity hashes) قبل تحميل أي أداة. وقيّد الاكتشاف الديناميكي للأدوات.
- اعزل الوكلاء بصرامة في بيئات معزولة. شغّل الوكلاء داخل أجهزة افتراضية صغيرة (microVMs) أو بيئات معزولة صارمة — بالعقلية ذاتها القائمة على انعدام الثقة وأقل قدر من الصلاحيات — كي لا يتمكن وكيل مختطَف من الوصول إلى بقية بيئتك.
- اجعل حواجز الحماية نهائية. عرّف حدودًا صريحة لما يُسمح للوكيل بفعله، واضمن أن قول حاجز الحماية "لا" لا يمكن تجاوزه بأي شيء وارد في التعليمات.
- أضف بوابة بشرية للإجراءات غير القابلة للتراجع. وجدت استطلاعات هذا العام أن معظم المؤسسات تستطيع رؤية ما تفعله وكلاؤها لكنها لا تستطيع إيقافها في منتصف الإجراء. ابنِ زر الإيقاف قبل أن تحتاج إليه.
الخلاصة
أمن وكلاء الذكاء الاصطناعي في عام 2026 هو، على حد تعبير أحد الملخصات واسعة الاقتباس، مشكلة سلسلة توريد أولًا ومشكلة حقن تعليمات ثانيًا — مع بروتوكول MCP بوصفه النسيج الرابط الذي يمرّ عبر الاثنين. التهديد ليس علة يمكن ترقيعها لتختفي؛ بل هو النتيجة الطبيعية لمنح نماذج قادرة قدرةَ الوصول إلى العالم الحقيقي. والمؤسسات التي تخرج رابحة ليست تلك التي تتجنّب الوكلاء، بل تلك التي تنشرها بافتراض أن الحقن سيحدث، وتهندس أنظمتها بحيث يتوقف الضرر عند جدار البيئة المعزولة حين يقع.
الأسئلة الشائعة
ما هي "الثلاثية القاتلة" في أمن وكلاء الذكاء الاصطناعي؟ هي المزيج الخطير المتمثل في امتلاك الوكيل للوصول إلى بيانات خاصة، والتعرّض لمحتوى غير موثوق، والقدرة على التواصل مع الخارج. ومجتمعةً، تحوّل هذه العناصر تعليمة مخفية إلى ناقل لاختراق النظام.
هل يمكن منع حقن التعليمات بشكل كامل؟ لا. يتعامل الباحثون معه باعتباره خطرًا بنيويًا لأن النماذج لا تستطيع التمييز بشكل موثوق بين التعليمات الموثوقة والتعليمات المضمّنة في البيانات التي تعالجها. والهدف هو الاحتواء لا الإزالة.
من أين أبدأ إذا كانت شركتي تنشر وكلاء؟ طابِق وكلاءك مع قائمة OWASP لأبرز عشرة مخاطر للتطبيقات الوكيلة لعام 2026، وصادق على كل خادم MCP، واضمن ألا يملك أي وكيل منفرد أضلاع الثلاثية القاتلة الثلاثة معًا.
Waqas Ahmed Waseer
Waqas Ahmed Waseer is a developer and automation builder with 8+ years shipping production systems used by 100k+ people. He builds custom multi-tenant SaaS, AI automation (n8n, LLM workflows, WhatsApp bots) and hosting infrastructure (WHM/cPanel, CloudLinux) — and is the maker of WaSphere, FlowMaticX, and the WaseerHost hosting brand. 100+ projects delivered for SMBs, agencies and funded startups.
