أبرز النقاط
- نجح باحث أمني في استخراج بيانات شخصية من ذاكرة Claude دون أي إشعار للمستخدم
- ميزة الذاكرة في مساعدات الذكاء الاصطناعي تحوّلت إلى مخزن معلومات أخطر من مدير كلمات المرور
- الهجوم يستغل قدرات تصفح الويب المدمجة في Claude لتسريب البيانات عبر روابط مُعدّة خصيصاً
تمكّن باحث أمني من استخراج اسمه الكامل وجهة عمله وإجابات أسئلة الأمان الخاصة به من ذاكرة مساعد Claude، وإرسالها إلى خادم خارجي دون أن يظهر للمستخدم أي مؤشر على حدوث شيء غير طبيعي. المحادثة بدت عادية تماماً، لكن خلف الكواليس كانت البيانات تتسرّب بصمت.
أيوش بول، الباحث الأمني العامل في شركة Beem، وثّق هذا الاختراق في تدوينة تقنية مفصّلة أثارت نقاشاً واسعاً في مجتمعات الأمن السيبراني. الثغرة تكشف عن جانب مظلم لميزة الذاكرة التي تروّج لها شركات الذكاء الاصطناعي باعتبارها تحسيناً لتجربة المستخدم.
لماذا تُعدّ ذاكرة الذكاء الاصطناعي أخطر من مدير كلمات المرور؟
يصف أيوش بول المشكلة بوضوح: مساعدات الذكاء الاصطناعي مثل Claude جمعت أكثف الملفات الشخصية معلوماتياً عن ملايين المستخدمين. الناس يبوحون لها بكل شيء، من أصول العمل السرية إلى الأسرار الشخصية ومشاكل العلاقات. مع مرور الوقت، يتحوّل سجل المحادثات إلى إعادة بناء عالية الدقة لشخصيتك، يمكن استخدامها للابتزاز أو انتحال الهوية أو تجاوز أسئلة الأمان.
نظام الذاكرة في Claude يعمل على مستويين: الأول هو تلخيص يومي يُكثّف محادثاتك الأخيرة في فقرات قصيرة عنك، تُحقن في كل محادثة جديدة حتى لا يبدأ Claude من الصفر. الثاني هو أداة بحث تُدعى conversation_search تتيح البحث في سجل محادثاتك الكامل عند الطلب.
كيف نجح الهجوم في تجاوز حماية Anthropic؟
احتاج المهاجم إلى طريقة لإخراج البيانات من بيئة Claude المعزولة. الفكرة الأولى كانت بسيطة: Claude يملك أداتين للوصول إلى الإنترنت هما web_search وweb_fetch. إذا استطاع Claude الوصول إلى موقع يملكه المهاجم، يمكن اكتشاف هذا الوصول من سجلات الخادم.
أنشأ أيوش خادماً بسيطاً وطلب من Claude زيارته. نجح الأمر ورأى طلب Claude في السجلات. لكن الخطوة التالية فشلت: عندما طلب من Claude تضمين بيانات في مسار الرابط، رفض النظام. اتضح أن Anthropic وضعت قيوداً ذكية.
- أداة web_fetch تشترط أن يكون الرابط مذكوراً مباشرة في رسالة المستخدم
- أو أن يظهر في نتائج بحث web_search
- أو أن يكون رابطاً موجوداً في محتوى صفحة سبق جلبها عبر web_fetch
الشرط الثالث هو الثغرة. يمنح Claude القدرة على النقر على أي رابط رآه في صفحة سابقة. وبما أن المهاجم يملك الموقع، فهو يتحكم في الروابط الظاهرة فيه.
لوحة مفاتيح افتراضية لتسريب البيانات حرفاً حرفاً
الحل الذي توصّل إليه أيوش كان بارعاً في بساطته: بدلاً من محاولة تمرير البيانات دفعة واحدة، أنشأ صفحة رئيسية تحتوي روابط لكل حرف من الأبجدية: /a، /b، /c وهكذا. عندما يزور Claude الصفحة، يرى كل هذه الروابط ويصبح قادراً على النقر عليها.
بهذه الطريقة يستطيع Claude تهجئة أي معلومة حرفاً حرفاً عبر تتبع الروابط، والمهاجم يرى كل نقرة في سجلات خادمه. النتيجة: الاسم الكامل، جهة العمل، المدينة الأصلية، كلها ظهرت في سجلات الخادم دون أي إنذار للمستخدم.
ما حجم المشكلة الحقيقي؟
المشكلة لا تقتصر على Claude. أي مساعد ذكاء اصطناعي يجمع بين ذاكرة مستمرة وقدرات تصفح الويب يواجه نفس فئة المخاطر. ChatGPT من OpenAI يملك ميزة ذاكرة مشابهة، وGoogle Gemini يتجه للمسار ذاته.
النقاش في مجتمع Hacker News ركّز على ما يُسمى مشكلة حدود الثقة: المستخدمون يتعاملون مع الذكاء الاصطناعي كصديق موثوق يحفظ أسرارهم، بينما البيانات تتدفق عبر أنظمة معقدة لا يفهمونها. عدة معلقين أشاروا إلى أن هذا البحث يشبه هجمات prompt injection السابقة، لكنه يستهدف تحديداً ميزات الذاكرة والتخصيص.
كيف تحمي نفسك من هذا النوع من الهجمات؟
- راجع إعدادات الذاكرة في Claude أو ChatGPT واحذف المعلومات الحساسة التي لا تحتاج بقاءها
- تجنّب مشاركة أسئلة الأمان أو كلمات المرور أو المعلومات المالية مع مساعدات الذكاء الاصطناعي
- كن حذراً من الروابط التي تطلب من المساعد زيارتها، خاصة من مصادر غير موثوقة
- فعّل المصادقة الثنائية على حساباتك المهمة فلا تعتمد على أسئلة الأمان وحدها
رأي Logicity
هذه الثغرة تكشف مفارقة جوهرية في سباق شركات الذكاء الاصطناعي نحو التخصيص: كلما أصبح المساعد أكثر فائدة عبر تذكّر تفاصيلك، زادت المخاطر الأمنية. Anthropic استبقت بعض السيناريوهات لكنها لم تتوقع هذا المسار الإبداعي. المنافسون مثل OpenAI وGoogle يواجهون نفس التحدي، والفارق سيكون في سرعة الاستجابة وشفافية الإفصاح. للمؤسسين: قبل دمج مساعدات الذكاء الاصطناعي في بيئات عملكم، اسألوا عن سياسات الذاكرة وآليات العزل، لأن بيانات شركتكم قد تكون الهدف التالي.
الأسئلة الشائعة
هل أثّرت هذه الثغرة على مستخدمين فعليين؟
الباحث أجرى التجربة على حسابه الخاص لأغراض البحث الأمني. لا توجد معلومات عن استغلال فعلي ضد مستخدمين آخرين حتى الآن.
هل يمكن تعطيل ذاكرة Claude بالكامل؟
نعم، يمكنك الدخول إلى إعدادات Claude على claude.ai وتعطيل ميزة الذاكرة أو حذف ذكريات محددة يدوياً.
هل ChatGPT معرّض لنفس الثغرة؟
نظرياً أي مساعد يجمع بين الذاكرة المستمرة وتصفح الويب يواجه مخاطر مشابهة. التفاصيل التقنية تختلف لكن فئة الهجوم واحدة.
ما الفرق بين هذا الهجوم وprompt injection التقليدي؟
هجمات prompt injection التقليدية تستهدف تغيير سلوك النموذج. هذا الهجوم يستهدف استخراج البيانات المخزّنة في الذاكرة عبر قناة جانبية هي تصفح الويب.
هل تحتاج مساعدة في التطبيق؟
إذا كنت تبني منتجاً يعتمد على مساعدات الذكاء الاصطناعي وتريد مراجعة الجوانب الأمنية، تواصل مع فريق Logicity للحصول على استشارة متخصصة أو توصيات بخبراء أمن معلومات في المنطقة.
فاطمة الزهراء
كاتبة تقنية متخصصة في الذكاء الاصطناعي
أُنتِج هذا المقال بمساعدة الذكاء الاصطناعي وراجعه فريق التحرير في لوجيسيتي. اعرف المزيد في سياسة التحرير.
اقرأ أيضاً

هيرو موتوكورب تستحوذ على 80% من جولة تمويل Ather Energy بقيمة 1,200 كرور روبية: ماذا يعني هذا لسوق الدراجات الكهربائية؟
وافق مجلس إدارة شركة Ather Energy، إحدى أبرز الشركات الهندية المصنّعة للدراجات الكهربائية ثنائية العجلات، على جمع تمويل يصل إلى 1,200 كرور روبية هندية (نحو 140 مليون دولار) عبر إصدار تفضيلي يمزج بين ا

Honor Robot Phone: تسريب يكشف مواصفات خارقة بكاميرا 200 ميجابكسل ومعالج Snapdragon 8 Elite
يبدو أن Honor تستعد لإعادة تعريف فئة الهواتف الرائدة بجهاز يحمل اسماً غير تقليدي: Honor Robot Phone. الجهاز الذي لمحناه للمرة الأولى خلال معرضي CES وMWC مطلع 2025 ظل لغزاً تقنياً، إذ امتنعت الشركة عن

