كيف استطاع باحثون خداع ذكاء GitHub الاصطناعي لكشف أسرار المستودعات الخاصة
تمكن باحثون من استغلال وكيل GitHub الذكي لتسريب محتوى مستودعات خاصة.
أدخلوا تعليمات مخفية بتنصيص موجه، مما يعرض نقاط ضعف في تدابير الأمان الحالية.
تنامي استخدام الوكلاء المستقلين يثير تساؤلات حول حدود الأمان في بيئات التطوير.
الحل ليس برمجياً بحتاً بل يتطلب إعادة تعريف لحدود الثقة بين البيانات والوكلاء.
أحياناً تكفي كلمة واحدة لتكشف هشاشة نظام كامل. ليس خطأً برمجياً معقداً، ولا اختراقاً عالي التقنية، بل صياغة مهذبة داخل تذكرة “Issue” على مستودع عام. هذا تماماً ما حدث مع GitHub، حين تمكّن باحثون من دفع وكيله الذكي الجديد إلى تسريب محتوى مستودعات خاصة إلى العلن، في واقعة أسموها GitLost.
وكيل ذكي يقرأ ما لا ينبغي قراءته
القصة بدأت مع GitHub Agentic Workflows، وهي ميزة تجمع بين GitHub Actions ووكيل ذكاء اصطناعي مدعوم بنماذج مثل Claude أو GitHub Copilot. الفكرة تقوم على أتمتة مهام التطوير اعتماداً على “عميل مستقل” يستطيع قراءة القضايا Issues، استدعاء الأدوات، واتخاذ قرارات تنفيذية وفق تعليمات مكتوبة بلغة طبيعية داخل ملفات Markdown.
لكن بحسب تقرير نشرته Noma Labs، استطاع الباحثون خداع هذا الوكيل عبر إدخال تعليمات مخفية داخل نص قضية عامة. النتيجة: الوكيل جلب محتوى ملف README من مستودع خاص ونشره في تعليق عام، دون امتلاك المهاجم أي صلاحيات أو بيانات اعتماد.
ثغرة بلا تصحيح برمجي
المشكلة هنا ليست مجرد خلل تقني يمكن إصلاحه برقعة أمنية. الباحثون وصفوا العيب بأنه من فئة “حقن الأوامر عبر النص” أو ما يُعرف بهجمات Prompt Injection، وهو نمط يتلاعب بسياق النموذج اللغوي بدلاً من استغلال كود تقليدي. إضافة كلمة واحدة مثل “Additionally” كانت كافية لتغيير سلوك الرفض إلى استجابة كاملة.
الوكيل المستقل لا يجب أن يكون مدخلاً لتسريب صامت للبيانات، كما قال الباحث ساسي ليفي.
هذا النوع من الهجمات يشبه إلى حد بعيد ثغرات SQL Injection في بدايات web، لكنه يستهدف هذه المرة “نافذة السياق” الخاصة بالنموذج اللغوي، أي كل ما يطالعه من نصوص وتعليقات وملفات.
حين يصبح الـ Context سطح هجوم
الذكاء الاصطناعي القادر على قراءة المستودعات والتفاعل معها يحتاج بطبيعته إلى وصول واسع للبيانات. هنا يكمن التناقض: كلما توسعت صلاحيات الوكيل لزيادة الإنتاجية، اتسع سطح الهجوم الأمني. أي نص يقرأه يمكن أن يتحول إلى حزمة تعليمات خبيثة، حتى لو بدا مجرد استفسار بسيط.
- لا حاجة لاختراق حسابات.
- لا حاجة لتجاوز نظام مصادقة.
- يكفي تعليق عام مكتوب بذكاء.
هذا ما يجعل الحدود بين “محتوى” و”أمر تنفيذي” ضبابية داخل بيئات التطوير الحديثة.
ليست حادثة معزولة
الهجوم على GitHub يأتي ضمن موجة أوسع تستهدف وكلاء الذكاء الاصطناعي. نماذج تصفحت مواقع وسرّبت كلمات مرور، حزم npm مسمومة تستهدف المطورين، وحتى نماذج أولية لبرمجيات فدية مدعومة بوكلاء مستقلين. نحن أمام نمط يتكرر: كل عميل ذاتي القرار يتحول إلى نقطة ثقة حرجة.
المفارقة أن المؤسسات تعتمد هذه الأنظمة لتعزيز الإنتاجية، تسريع مراجعة الشيفرة، وإدارة المهام، بينما يتبيّن أن نفس هذه الواجهة يمكن استغلالها لاستخراج أسرار تنظيمية أو مفاتيح وصول مشتركة بين مستودعات.
أزمة حدود الثقة
حتى الآن، لم تضف GitHub توثيقاً رسمياً يحذر من مشاركة المفاتيح أو الأذونات بين مستودعات عامة وخاصة ضمن هذا السياق. الباحثون يرون أن الحل ليس برمجياً بحتاً، بل هيكلي: إعادة تعريف حدود الثقة بين الوكيل ومصادر البيانات، وفصل أوضح بين ما يُقرأ بغرض الفهم وما يُنفذ كأمر.
القضية في جوهرها ليست عن GitHub وحدها، بل عن تصميم الأنظمة المعتمدة على نماذج لغوية كبيرة. حين يتحول السياق إلى منفذ تنفيذ، يصبح كل نص احتمالية هجوم. وربما تكون كلمة مهذبة أكثر خطورة من شيفرة خبيثة، لأنها تمرّ من الحراسة بابتسامة.
GitLost تذكير بأن الأتمتة الذكية لا تعني حصانة ذكية بالضرورة. ومع اتساع استخدام الوكلاء المستقلين داخل بيئات التطوير، سيبقى السؤال معلقاً: كيف نمنح الآلة صلاحية التصرف دون أن نمنحها سلطة الإفشاء؟
عبَّر عن رأيك
إحرص أن يكون تعليقك موضوعيّاً ومفيداً، حافظ على سُمعتكَ الرقميَّةواحترم الكاتب والأعضاء والقُرّاء.
Ai Everything
LEAP26








