كشف باحثون أمنيون عن مسار هجومي جديد وخطير يستهدف بيئات تنفيذ التعليمات البرمجية للذكاء الاصطناعي. تستغل هذه الطريقة استعلامات نظام أسماء النطاقات (DNS) لتسريب البيانات الحساسة، وفي الحالات الشديدة، إنشاء قنوات تحكم وأمر عن بُعد. تُظهر الثغرات التي تم تحديدها في منصات بارزة—بما في ذلك مفسر الكود AgentCore في أمازون بيدروك، وخدمة LangSmith من LangChain، وخادم SGLang—ضعفاً نظامياً في كيفية فرض صناديق الحماية الرملية للذكاء الاصطناعي لعزل الشبكة. يمكن أن تسمح هذه العيوب للجهات الخبيثة بتجاوابضوابط الأمان المقصودة، مما يؤدي إلى خروقات بيانات كبيرة واختراق الأنظمة.
يسلط تقرير مفصل من BeyondTrust الضوء على عيب أساسي في مفسر الكود AgentCore الخاص بأمازون بيدروك، وهي خدمة مدارة بالكامل أطلقت في أغسطس 2025 مصممة للسماح لوكلاء الذكاء الاصطناعي بتنفيذ التعليمات البرمجية في صناديق رملية معزولة. على الرغم من تكوينها لـ "عدم الوصول إلى الشبكة"، فإن وضع الصندوق الرملي يسمح باستعلامات DNS الصادرة. يتيح هذا الإغفال، الذي يحمل درجة CVSS 7.5 (خطورة عالية)، للجهات الخبيثة إنشاء اتصال ثنائي الاتجاه للتحكم. يمكن للمهاجم إساءة استخدام هذا لإعداد صدفة عكسية تفاعلية، وتسريب البيانات عبر استعلامات DNS—خاصة إذا تم إرفاق دور IAM مفرط الصلاحيات من AWS—وتسليم حمولات إضافية. يمكن إجبار النظام على استطلاع خادم DNS ضار للبحث عن أوامر مخزنة في سجلات DNS من النوع A، وتنفيذها، وإرجاع النتائج عبر استعلامات النطاقات الفرعية، متجاوزاً تماماً عزل الشبكة المتوقع.
تمتد الآثار الأمنية إلى ما هو أبعد من بائع واحد. أظهر الباحثون أيضاً تقنيات تسريب مماثلة باستخدام DNS ضد خدمة التتبع والمراقبة LangSmith التابعة لـ LangChain. من خلال التلاعب بالكود الذي يولده الذكاء الاصطناعي داخل إطار تقييم LangSmith، يمكن للمهاجمين تضمين استعلامات DNS ضارة لتسريب متغيرات البيئة، ومفاتيح API، وأسرار أخرى. علاوة على ذلك، وُجد أن خادم SGLang، وهو وقت تشغيل عالي الأداء لنشر نماذج اللغة الكبيرة، عرضة لهجوم اختراق المسار. تسمح هذه الثغرة بقراءة ملفات عشوائية على الخادم، والتي يمكن بعد ذلك تسريبها باستخدام طريقة DNS نفسها. تشير هذه الحالات مجتمعة إلى نمط حيث أن أدوات تطوير الذكاء الاصطناعي والاستدلال، في سعيها لتقديم قدرات قوية لتنفيذ التعليمات البرمجية، قد عزلت تفاعلات مستوى الشبكة بشكل غير كاف.
يتطلب مشهد المعالجة دفاعات فورية ومتعددة الطبقات. أفادت التقارير أن أمازون قد عالجت مشكلة بيدروك، مؤكدة أن الخدمة مصممة لمنع الوصول إلى الشبكة وأن على العملاء اتباع أفضل الممارسات لـ IAM. أصدرت LangChain تصحيحات لـ LangSmith، وقام القائمون على SGLang بإصلاح ثغرة اختراق المسار. بالنسبة للمنظمات التي تستفيد من أدوات الذكاء الاصطناعي هذه، تشمل الخطوات الحاسمة: تطبيق مبدأ الامتياز الأدنى بدقة على أدوار IAM المرفقة بخدمات الذكاء الاصطناعي، وتجزئة شبكات تطوير وإنتاج الذكاء الاصطناعي، ومراقبة أنماط استعلامات DNS غير الطبيعية (خاصة النطاقات الفرعية الطويلة والمشفرة)، والتعامل مع مفسرات كود الذكاء الاصطناعي بنفس التدقيق الأمني لأي تطبيق مواجه للإنترنت. مع زيادة استقلالية وكلاء الذكاء الاصطناعي وقدرتهم على تنفيذ التعليمات البرمجية، يعد ضمان عزلها التشغيلي الحقيقي أمراً بالغ الأهمية لمنع هجمات تسريب البيانات والتنفيذ عن بُعد الجديدة.
