وسطاء الظل: كيف تُحوِّل خوادم MCP المارقة المساعدين الذكيين إلى جواسيس للشركات

تخيّل مساعدك الذكي، المصمَّم لرفع الإنتاجية، وهو يسرّب بهدوء رسائل البريد الإلكتروني السرّية، ويشغّل شيفرة مخفية، أو يوجّهك نحو أفخاخ تصيّد - كل ذلك دون أي إشارة تحذير واحدة. هذا ليس افتراضًا: فقد كشف باحثون أمنيون عن سلالة جديدة مقلقة من الهجمات تستغل البنية التحتية ذاتها التي تجعل المساعدين الذكيين بهذه القوة. وفي قلب هذا التهديد تقف خوادم MCP، المحركات غير المرئية التي تترجم طلباتك باللغة الطبيعية إلى أفعال في العالم الحقيقي. لكن عندما تُخترق هذه الخوادم، تتحول إلى عملاء مزدوجين من الطراز الأعلى.

كان بروتوكول سياق النموذج (MCP)، الذي قدّمته Anthropic في أواخر 2024، يهدف إلى توحيد كيفية تواصل المساعدين الذكيين مع الأدوات الخارجية، من البريد الإلكتروني والدردشة إلى التخزين ومنصات SaaS. تعمل خوادم MCP كجسر يترجم الإنجليزية البسيطة إلى أوامر حقيقية - قراءة الملفات، واستعلام واجهات API، أو تعديل البيانات. هذه القابلية السلسة للتشغيل البيني سلاح ذو حدين: فهي تمكّن الإنتاجية، لكنها تفتح أيضًا سطح هجوم من نوع “آلة في الوسط” جاهزًا للاستغلال.

توجد تهيئتان رئيسيتان لـ MCP، لكل منهما مخاطر فريدة. تعمل الخوادم المستضافة محليًا على أجهزة المستخدمين بصلاحيات كاملة، ما يمنح أي خادم MCP خبيث أو مخترَق وصولًا مباشرًا إلى الملفات وبيانات الاعتماد وأنظمة التشغيل. أما خوادم MCP البعيدة المستضافة لدى أطراف ثالثة (مثل تلك التي توفرها منصات البريد أو الدردشة) فلا يمكنها تشغيل أوامر على مستوى نظام التشغيل، لكنها تكشف بيانات مؤسسية قيّمة وتمنح تحكمًا في سير العمل التجاري.

أثبتت الاختبارات الأمنية والحوادث الواقعية أن المهاجمين يستغلون هذه البنية بالفعل. خذ مثال حزمة “postmark-mcp”: فقد كانت تجمع بهدوء آلاف الرسائل الحساسة، بما في ذلك إعادة تعيين كلمات المرور والفواتير، عبر عملها كوسيط صامت داخل سير العمل المدفوع بالذكاء الاصطناعي. ويقوم المهاجمون بتسلسل خوادم بعيدة شرعية مع أخرى محلية خبيثة، فيمزجون الوصول إلى بيانات المؤسسة مع تنفيذ شيفرة محلية - وغالبًا دون أي طلب من المستخدم أو تحذير.

يتفاقم الخطر عندما يستفيد المهاجمون من تسلسل MCP وأذونات الأدوات. على سبيل المثال، قد يسترجع مساعد ذكي رسائل مساحة عمل Slack عبر موصل رسمي، ثم يمررها إلى أداة “تحليل” مارقة، فيُطلق دون قصد أوامر صدفة (shell) أو برمجيات خبيثة - من دون أي إجراء من المستخدم. وحتى أدوات MCP الموصوفة بأنها “للقراءة فقط” يمكن تسليحها لتهريب مجموعات بيانات ضخمة، إذ يخدع المهاجمون الذكاء الاصطناعي ليقوم بـ“جمع السياق” ثم تسريب معلومات سرّية.

الاكتشاف صعب. فمعظم المؤسسات لا تتعقب خوادم MCP كأصول رسمية، ولا تُخضعها لتقييمات صارمة للمورّدين. كما أن العديد من عملاء MCP يثبتون تلقائيًا حزمًا جديدة، ما يعني أن مكتبة واحدة مخترَقة أو مُنتحلة الاسم (typosquatted) قد توصل برمجيات خبيثة مخفية عند بدء التشغيل. ويمكن للمهاجمين حتى حقن تعليمات دعم تقني مزيفة أو روابط تصيّد داخل ردود الذكاء الاصطناعي، والتلاعب بالمستخدمين عبر واجهات موثوقة.

ومع انتشار خوادم MCP عبر خطوط CI/CD وأدوات المطورين، يتزايد خطر اختراق سلسلة التوريد. يجب على فرق الأمن التعامل مع خوادم MCP كأسطح هجوم حرجة - بفرض مراجعة صارمة، وتقليل الصلاحيات، ومراقبة تدفقات البيانات غير المعتادة، وتثقيف الموظفين حول مخاطر استدعاءات الأدوات المتسلسلة.

إن الميزة ذاتها التي تجعل MCP قويًا - قدرته على وصل نماذج الذكاء الاصطناعي ببيانات وإجراءات غنية - تُضعف أيضًا الحدود الأمنية التقليدية. ومع وقوع هجمات في العالم الحقيقي وظهور ثغرات حرجة، يجب على المؤسسات التحرك الآن للدفاع عن منظوماتها القائمة على الذكاء الاصطناعي قبل أن يحوّل هؤلاء الوسطاء الصامتون المساعدين النافعين إلى جواسيس للشركات.

WIKICROOK

• خادم MCP: خادم MCP هو برمجيات وسيطة تمكّن الوكلاء من الاتصال بأمان بالإضافات أو الأدوات أو الخدمات أثناء وقت التشغيل، دعمًا لأنظمة الأمن السيبراني المعيارية.
• تنفيذ شيفرة عشوائية: يتيح تنفيذ الشيفرة العشوائية للمهاجمين تشغيل أي شيفرة على نظام ما، وغالبًا ما يؤدي ذلك إلى تحكم كامل أو سرقة بيانات أو تثبيت برمجيات خبيثة.
• تهريب البيانات: تهريب البيانات هو النقل غير المصرح به لبيانات حساسة من نظام الضحية إلى سيطرة المهاجم، وغالبًا لأغراض خبيثة.
• حقن الموجّهات: حقن الموجّهات هو قيام المهاجمين بتغذية الذكاء الاصطناعي بمدخلات ضارة تجعله يتصرف بطرق غير مقصودة أو خطرة، وغالبًا بتجاوز الضمانات المعتادة.
• سلسلة التوريد: يستهدف هجوم سلسلة التوريد مورّدين أو خدمات من أطراف ثالثة لاختراق عدة مؤسسات عبر استغلال علاقات خارجية موثوقة.