صفحات الويب الخبيثة تسيطر على وكلاء الذكاء الاصطناعي، وبعضها يستهدف حساب PayPal الخاص بك

باختصار

• وثقت شركة جوجل ارتفاعًا بنسبة 32% في هجمات حقن الأوامر غير المباشرة الخبيثة بين نوفمبر 2025 وفبراير 2026، والتي تستهدف وكلاء الذكاء الاصطناعي أثناء تصفح الويب.
• شملت الحمولة الحقيقية الموجودة في الطبيعة تعليمات معاملات PayPal كاملة التحديد مخفية بشكل غير مرئي في HTML عادي، موجهة لوكلاء يمتلكون قدرات الدفع.
• لا يوجد إطار قانوني حاليًا يحدد المسؤولية عندما ينفذ وكيل ذكاء اصطناعي بمعلومات اعتماد شرعية أمرًا وضعه طرف ثالث خبيث.

المهاجمون يضعون بصمتهم بهدوء على صفحات الويب باستخدام تعليمات غير مرئية مصممة لوكلاء الذكاء الاصطناعي، وليس للقراء البشر. ووفقًا لفريق أمان جوجل، المشكلة تتزايد بسرعة. في تقرير نُشر في 23 أبريل، قام باحثو جوجل توماس برونر، يو-هان ليو، وموني باندي بمسح 2-3 مليارات صفحة ويب تم زحفها شهريًا بحثًا عن هجمات حقن الأوامر غير المباشرة—أوامر مخفية مدمجة في المواقع تنتظر أن يقرأها وكيل الذكاء الاصطناعي ثم يتبع الأوامر. ووجدوا زيادة بنسبة 32% في الحالات الخبيثة بين نوفمبر 2025 وفبراير 2026. يُدمج المهاجمون التعليمات في صفحة ويب بطرق غير مرئية للبشر: نص صغير جدًا بحجم بكسل واحد، نص شبه شفاف، محتوى مخفي في أقسام تعليقات HTML، أو أوامر مدفونة في بيانات التعريف للصفحة. يقرأ الذكاء الاصطناعي كامل HTML. الإنسان لا يرى شيئًا.

معظم ما وجدته جوجل كان منخفض الجودة—مقالب، تلاعب بمحركات البحث، محاولات لمنع وكلاء الذكاء الاصطناعي من تلخيص المحتوى. على سبيل المثال، كانت هناك بعض الأوامر التي حاولت إخبار الذكاء الاصطناعي بـ “تغريد كطائر”. لكن الحالات الخطرة هي قصة مختلفة. حالة واحدة وجهت النموذج اللغوي الكبير لإرجاع عنوان IP للمستخدم إلى جانب كلمات المرور الخاصة به. وحالة أخرى حاولت التلاعب بالذكاء الاصطناعي لتنفيذ أمر يقوم بتنسيق جهاز المستخدم.

لكن حالات أخرى تكاد تكون إجرامية.

نشر باحثو شركة Forcepoint للأمن السيبراني تقريرًا في وقت شبه متزامن، ووجدوا حمولة تتجاوز ذلك. واحدة منها كانت تتضمن معاملة PayPal كاملة التحديد مع تعليمات خطوة بخطوة تستهدف وكلاء الذكاء الاصطناعي المدمجين بقدرات دفع، باستخدام تقنية “تجاهل جميع التعليمات السابقة” الشهيرة.

استخدم هجوم ثانٍ تقنية تسمى “حقن مساحة أسماء العلامات الوصفية” مع كلمة مضاعفة الإقناع لتوجيه المدفوعات التي تتم عبر الذكاء الاصطناعي نحو رابط تبرع Stripe. وظهر هجوم ثالث مصممًا لاستكشاف أنظمة الذكاء الاصطناعي التي تكون فعلاً عرضة للخطر—استطلاع قبل هجوم أكبر. هذه هي جوهر مخاطر المؤسسة. وكيل ذكاء اصطناعي يمتلك بيانات اعتماد دفع شرعية، ينفذ معاملة يقرأها من موقع ويب، يُنتج سجلات تبدو مطابقة للعمليات العادية. لا يوجد تسجيل دخول غير طبيعي. لا هجمات بالقوة الغاشمة. قام الوكيل بما كان مخولًا به تمامًا—لقد تلقى تعليماته من مصدر غير صحيح. الهجوم المعروف باسم CopyPasta الذي وثق في سبتمبر الماضي أظهر كيف يمكن أن تنتشر حقنات الأوامر عبر أدوات المطورين من خلال الاختباء داخل ملفات “readme”. والنموذج المالي هو نفس المفهوم المطبق على المال بدلاً من الشفرة—وبتأثير أعلى بكثير لكل ضربة ناجحة. كما يوضح Forcepoint، فإن الذكاء الاصطناعي في المتصفح الذي يمكنه فقط تلخيص المحتوى هو منخفض المخاطر. أما الذكاء الاصطناعي الوكيل الذي يمكنه إرسال رسائل بريد إلكتروني، أو تنفيذ أوامر طرفية، أو معالجة المدفوعات فهو فئة مختلفة تمامًا من الأهداف. يزداد سطح الهجوم مع زيادة الامتيازات.  لا جوجل ولا Forcepoint وجدا أدلة على حملات منظمة ومتطورة. لكن Forcepoint أشار إلى أن قوالب الحقن المشتركة عبر عدة نطاقات “تُشير إلى أدوات منظمة بدلاً من تجارب معزولة”—مما يعني أن شخصًا ما يبني بنية تحتية لهذا، حتى لو لم يتم نشرها بالكامل بعد.

لكن جوجل كانت أكثر مباشرة: قال فريق البحث إنه يتوقع أن يتزايد حجم وتعقيد هجمات حقن الأوامر غير المباشرة في المستقبل القريب. يحذر باحثو Forcepoint من أن النافذة أمام التصدي لهذا التهديد تُغلق بسرعة. السؤال عن المسؤولية هو الذي لم يُجب عليه أحد بعد. عندما يقرأ وكيل ذكاء اصطناعي بمعلومات اعتماد معتمدة من الشركة صفحة ويب خبيثة ويبدأ في تحويل PayPal احتيالي، من يتحمل المسؤولية؟ الشركة التي نشرت الوكيل؟ مزود النموذج الذي تبع نظامه التعليمات المُحقنة؟ مالك الموقع الذي استضاف الحمولة، سواء كان على علم أم لا؟ لا يوجد إطار قانوني يغطي هذا حاليًا. هذه منطقة رمادية حتى وإن لم تكن السيناريوهات نظرية بعد، حيث وجدت جوجل الحمولة في الطبيعة في فبراير الماضي. تصنف مشروع أمان تطبيقات الويب المفتوح Prompt Injection كـ LLM01:2025—أهم فئة ثغرات في تطبيقات الذكاء الاصطناعي. تتبع مكتب التحقيقات الفيدرالي خسائر احتيال تتعلق بالذكاء الاصطناعي بقيمة تقارب $900 مليون دولار في 2025، وهو العام الأول الذي يسجل فيه هذه الفئة بشكل منفصل. تشير نتائج جوجل إلى أن الهجمات المالية المستهدفة، المرتبطة بالوكلاء، بدأت للتو. الزيادة بنسبة 32% التي تم قياسها بين نوفمبر 2025 وفبراير 2026 تغطي فقط الصفحات العامة الثابتة على الويب. كانت وسائل التواصل الاجتماعي، والمحتوى المحمي بتسجيل الدخول، والمواقع الديناميكية خارج النطاق. ومن المحتمل أن يكون معدل الإصابة الفعلي عبر الويب بأكمله أعلى.