صانع محتوى الإسكندرية يعترف: نشرت فيديوهات البلطجة لزيادة المشاهدات
أحمد ميهوب يكشف موقفا طريفا مع لاعب الزمالك: دا مش نهائي دوري أبطال أوروبا
موعد زيادة المعاشات 2026.. تفاصيل الزيادة السنوية وخطوات الاستعلام
هل تخطف الأفلام المستقلة الأضواء من هوليوود صيف 2026؟
بتهمة التعدي على فتاة أجنبية لجلسة يونيو.. الفنان محمود حجازي يواجه هذه العقوبة
نائبة: العلمين الجديدة نموذج للجمهورية الجديدة ووجهة عالمية للسياحة والاستثمار
سلاح ذو حدين.. كيف تتحول قطرة الأنف من علاج للاحتقان إلى خطر لقلبك؟
ظهور «الدودة الحلزونية» في تكساس يهدد الثروة الحيوانية الأمريكية بخسائر ضخمة
ما هو حكم الشرع في قبول الهدية؟ دار الإفتاء تجيب
الإسماعيلية الجديدة وحياة كريمة تقودان مشروعات التنمية الشاملة بالمحافظة
الخميس 04 يونيو 2026
رئيـس مجلس الإدارة
محمد رزق
رئيـس التحرير
محمد صبري
الجمهور الإخباري
رئيـس مجلس الإدارة
محمد رزق
رئيـس التحرير
محمد صبري
ads
الجمهور الإخباري
ads
ads

سيارات وتكنولوجيا

ads

المتصفحات الذكية تُحول وكلاء الـAI إلى أدوات لسرقة بياناتك المصرفية وحساباتك السرية

hacker
hacker

لم تعد متصفحات الويب مجرد قارئ صفحات، بل تحولت إلى أنظمة ذكية (Agentic Browsers) تسمح لوكلاء الذكاء الاصطناعي باتخاذ قرارات وتنفيذ أوامر نيابة عن المستخدم. إلا أن دراسات حديثة نشرتها شركتا Brave Software و NeuralTrust كشفت عن ثغرات أمنية خطيرة، تهدد الخصوصية وتنسف افتراضات الأمان التقليدية على الويب.

آلية "حقن الأوامر غير المباشرة" (Indirect Prompt Injection)

​تعمل الثغرات المكتشفة في المتصفحات الذكية، مثل Opera Neon، عبر ما يُعرف بهجمات حقن الأوامر غير المباشرة. وتتلخص الآلية في النقاط التالية:

إخفاء التعليمات: يقوم المهاجم بإخفاء تعليمات نصية خبيثة داخل عناصر HTML غير مرئية للمستخدم (مثل نصوص بشفافية كاملة) في الصفحة التي يتصفحها.

​تفعيل الوكيل: عند طلب المستخدم من المساعد الذكي تلخيص أو تحليل الصفحة، يقرأ الذكاء الاصطناعي التعليمات المخفية كجزء من محتوى الصفحة.

​السرقة بصلاحيات المستخدم: يستغل الذكاء الاصطناعي صلاحيات المستخدم لتنفيذ الأوامر الخفية تلقائياً، مثل زيارة صفحة حساب المستخدم، واستخراج بريده الإلكتروني أو تفاصيل بطاقته البنكية، ثم إرسالها إلى خادم خارجي يخص المهاجم.

هذا النوع من الهجمات يتجاوز آليات الحماية التقليدية، لأن المساعد الذكي يتصرف بصفته المستخدم الموثوق به ويمكنه الوصول إلى جلساته المفتوحة عبر مختلف المواقع.

ثغرات متعددة في متصفحات رائدة

​لم تقتصر المشكلة على متصفح واحد؛ فقد كشفت الأبحاث عن أنماط مختلفة من الهجمات في عدة متصفحات رائدة:

​Perplexity Comet: ثغرة تعتمد على النصوص الشبه غير مرئية للعين البشرية، تُستخرج آلياً عبر تقنية التعرف البصري على النصوص (OCR) وتُمرَّر للنموذج اللغوي كأمر موثوق، مما يتيح سرقة رموز التحقق (OTP) من البريد الإلكتروني.

ChatGPT Atlas (من OpenAI): ثغرة تستغل شريط العنوان (Omnibox) حيث يستطيع المهاجم إنشاء أوامر نصية مموهة بشكل رابط (URL) ليعاملها الوكيل كأمر صريح من المستخدم، مما قد يؤدي إلى حذف ملفات من Google Drive أو التوجيه إلى مواقع تصيّد.

​Fellou: ثبت أن المتصفح لا يفرق بوضوح بين ما يقوله المستخدم وما تقوله الصفحة، مما يسمح بوضع تعليمات خبيثة مرئية داخل نص الصفحة لتغيير نية المستخدم وتنفيذ إجراءات ضارة.

جوهر المشكلة: غياب الفصل بين الثقة وعدم الثقة

تتفق جميع الأبحاث على أن سبب هذه الثغرات هو غياب الفصل الصارم بين المدخلات الموثوقة (ما يكتبه المستخدم بنفسه) والمحتوى غير الموثوق (النصوص والأكواد القادمة من صفحات الويب).

فعندما يُدمج الاثنان داخل طلب واحد يُرسل إلى نموذج الذكاء الاصطناعي، تصبح الأوامر الخبيثة جزءاً من "نية المستخدم"، وينفذها الوكيل بكامل صلاحياته، مما يفتح الباب أمام قراءة حسابات المستخدم المصرفية أو البريدية دون قيود.

تم نسخ الرابط