تحذير: هجمات على البنية التحتية للذكاء الاصطناعي تستنزف محافظ العملات الرقمية

حدد باحثون من جامعة كاليفورنيا فئة جديدة من الهجمات على مستوى البنية التحتية، قادرة على استنزاف محافظ العملات الرقمية وحقن أكواد خبيثة في بيئات المطورين، وقد حدثت عمليات سرقة الكريبتو هذه بالفعل على أرض الواقع.

كشفت دراسة منهجية نُشرت على arXiv في 8 أبريل 2026، بعنوان “قياس هجمات الوسطاء الخبيثين في سلسلة توريد نماذج اللغة الكبيرة”، عن اختبار 428 جهاز توجيه (Router) لواجهات برمجة تطبيقات الذكاء الاصطناعي. ووجدت الدراسة أن 9 منها قامت بحقن أكواد خبيثة بشكل نشط، و17 منها تمكنت من الوصول إلى بيانات اعتماد AWS الخاصة بالباحثين، بينما نجح جهاز توجيه مجاني واحد على الأقل في استنزاف عملة ETH من مفتاح خاص يتحكم فيه الباحثون.

تتمثل مساحة الهجوم في طبقة توجيه وكلاء الذكاء الاصطناعي، وهي بنية تحتية توسعت بسرعة مع دمج وكلاء الذكاء الاصطناعي في سير عمل تنفيذ البلوكشين. لم يعد السؤال الآن ما إذا كان هذا التهديد نظرياً، بل السؤال هو كم عدد أجهزة التوجيه المخترقة التي تتعامل بالفعل مع جلسات المستخدمين الحية.

كيف تعمل أجهزة توجيه وكلاء الذكاء الاصطناعي الخبيثة – وكلاء نصوص صريحة لا أنابيب مشفرة

صُممت البنية التحتية القياسية لواجهات برمجة تطبيقات نماذج اللغة الكبيرة (LLM) لترحيل طلبات واستجابات بسيطة: يرسل العميل طلباً، فيقوم جهاز التوجيه بتمريره إلى مزود النموذج، ثم تعود الاستجابة.

تستغل أجهزة التوجيه الخبيثة نموذج الثقة هذا تحديداً؛ فهي تعمل كوكلاء لطبقة التطبيقات في منتصف ذلك التبادل، مع وصول كامل للقراءة والكتابة إلى حمولات JSON النصية التي تمر عبرها في كلا الاتجاهين.

لا توجد معايير تشفير تحكم ما يمكن لجهاز التوجيه فحصه أو تعديله أثناء النقل. يرى جهاز التوجيه الخبيث الطلب الخام، واستجابة النموذج، وكل شيء مدمج في أي منهما – بما في ذلك المفاتيح الخاصة، وبيانات اعتماد واجهة برمجة التطبيقات، وكلمات استعادة المحفظة، أو الأكواد التي يتم إنشاؤها لبيئة نشر حية.

يمكن لهذا الجهاز تغيير الاستجابة قبل أن تصل إلى المستخدم، أو حقن كود إضافي في مخرجات توليد الأكواد، أو تسريب بيانات الاعتماد بصمت إلى نقطة نهاية خارجية.

قام باحثو جامعة كاليفورنيا ببناء وكيل أطلقوا عليه اسم “Mine” لمحاكاة أربعة أنواع متميزة من الهجمات ضد الأطر العامة، مستهدفين تحديداً جلسات YOLO المستقلة حيث ينفذ الوكيل الإجراءات دون تأكيد بشري في كل خطوة.

نشر اثنان من أصل 428 جهاز توجيه تم اختبارها أساليب تهرب تكيفية؛ حيث انتظر أحدهما 50 مكالمة API قبل تفعيل السلوك الخبيث لتجنب الكشف أثناء الاختبار الأولي. هذا ليس مجرد أداة عشوائية لسرقة البيانات، بل هو أداة مستهدفة صُممت لتجاوز التدقيق.

يزيد ناقل هجوم التسميم من المخاطر بشكل أكبر. فعندما تتم معالجة مفاتيح OpenAI API المسربة عبر بنية تحتية للتوجيه مخترقة، يتسع نطاق الضرر بسرعة؛ حيث تمت معالجة 2.1 مليار رمز، وكُشف عن 99 من بيانات الاعتماد عبر 440 جلسة Codex في البيئة الاختبارية الخاضعة لسيطرة الباحثين وحدها.

من هم المعرضون للخطر ولماذا تفشل الدفاعات الحالية في منع سرقة الكريبتو؟

المشكلة ليست في وجود أجهزة توجيه واجهة برمجة التطبيقات التابعة لجهات خارجية، بل في أن نموذج الثقة بالكامل للبنية التحتية لوكلاء الذكاء الاصطناعي يفترض أن طبقة التوجيه محايدة، ولا توجد حالياً آلية إنفاذ تتحقق من هذا الافتراض على نطاق واسع.

يقوم المطورون الذين يبنون أدوات على الشبكة (On-chain)، ونصوص أتمتة التمويل اللامركزي (DeFi)، ووكلاء التداول المستقلين، بتوجيه مكالمات API عبر بنية تحتية تابعة لجهات خارجية باستمرار.

تُستخدم أجهزة التوجيه المجانية المستمدة من المجتمعات العامة – وهي الفئة التي وُجد فيها 8 من أصل 9 من حاقني الأكواد الخبيثة – على نطاق واسع لأنها تخفض تكلفة بناء التطبيقات المدعومة بنماذج اللغة الكبيرة. ومع اعتماد البنية التحتية للتنفيذ الآلي في DeFi بشكل أكبر على البيانات الخارجية وتنسيق الوكلاء، تصبح طبقة التوجيه هدفاً جذاباً بشكل متزايد.

أما أمن المحافظ الحالي – مثل الأجهزة الصلبة (Hardware wallets)، وإعدادات التوقيع المتعدد، وتخزين المفاتيح دون اتصال بالإنترنت – فلا يحمي من جهاز توجيه يعترض المفتاح الخاص قبل وصوله إلى طبقة التوقيع، أو يحقن كوداً خبيثاً في نص برمجى للنشر يتم تنفيذه لاحقاً على الشبكة.

وصلت خسائر سرقة الكريبتو السنوية بالفعل إلى 1.4 مليار دولار. ولا يتطلب ناقل الهجوم هذا كسر التشفير، بل يتطلب اختراق قطعة من البرمجيات الوسيطة التي لا يفحصها معظم المستخدمين أبداً.

تُعد جلسات YOLO المستقلة هي نقطة التعرض الأعلى خطورة. فعندما ينفذ الوكيل معاملات متعددة الخطوات دون نقاط تفتيش بشرية للتأكيد، يكون لدى جهاز التوجيه الخبيث نافذة أوسع للعمل، ولا يملك المستخدم أي لحظة فاصلة لاكتشاف السلوك الشاذ.

قام مؤسس Solayer، المعروف باسم @Fried_rice، بتسليط الضوء على هذه النتائج عبر منصة X في 10 أبريل 2026، واصفاً الوضع بأن “أجهزة توجيه API التابعة لجهات خارجية والتي يعتمد عليها وكلاء نماذج اللغة الكبيرة على نطاق واسع” تحمل “ثغرات أمنية نظامية”، وهو وصف كان له صدى قوي نظراً لحجم اعتماد الوكلاء المستقلين في أدوات DeFi.

26 LLM routers are secretly injecting malicious tool calls and stealing creds. One drained our client $500k wallet.

We also managed to poison routers to forward traffic to us. Within several hours, we can directly take over ~400 hosts.

Check our paper: https://t.co/zyWz25CDpl pic.twitter.com/PlhmOYz2ec

— Chaofan Shou (@Fried_rice) April 10, 2026

تعتمد الدفاعات التي أوصى بها الباحثون على جانب العميل: بوابات إغلاق الأخطاء التي توقف التنفيذ عند اكتشاف استجابات شاذة، وتصفية الاستجابات الغريبة، والتسجيل في سجلات لا يمكن التلاعب بها من قبل جهاز التوجيه نفسه. وعلى المدى الطويل، يدعو فريق جامعة كاليفورنيا إلى معايير توقيع رقمي تجعل استجابات نماذج اللغة الكبيرة قابلة للتحقق، وهو نفس المبدأ المعماري الذي يجعل نزاهة أوراكل (Oracle) على الشبكة متطلباً أساسياً للتصميم وليس مجرد فكرة ثانوية.