باحثون من Google وثّقوا 11 هجومًا حقيقيًا على وكلاء الذكاء الاصطناعي. ChatGPT. Claude. Copilot. Cursor. كلٌّ منها انتهك المبدأ نفسه — ولم يكن أحد يراقب.

رسم باحثون من Google وجامعة كاليفورنيا في سان دييغو وجامعة ويسكونسن خريطة لأحد عشر هجومًا واقعيًا على وكلاء الذكاء الاصطناعي، فوجدوا أمرًا ثابتًا: كلٌّ منها انتهك المبدأ الأمني نفسه — التدفق الآمن للمعلومات. ليس خللًا في النموذج. ولا اختراقًا لقيوده. بل فشلًا في المنظومة.

شملت الهجمات تسريب بيانات من تطبيق ChatGPT على نظام macOS، وثغرة تسريب في Claude Code، وثغرة تسريب في Microsoft Copilot، وهجوم AgentFlayer على Cursor الذي أُطلق عبر تذكرة Jira خبيثة. في كل حالة، جرى اختراق وكيل ذكاء اصطناعي يملك صلاحية الوصول إلى أدوات المؤسسة وذاكرتها وواجهات برمجة التطبيقات والمتصفحات — لا لأن النموذج كان خطيرًا، بل لأن الأنظمة المحيطة به لم تُبنَ أصلًا لاحتوائه.

خلاصة الباحثين صريحة: لا تستطيع المؤسسات تأمين وكلاء الذكاء الاصطناعي بجعل النماذج الأساسية أكثر متانة. يجب فرض الأمن على مستوى المنظومة. وكتبوا: «يجب التعامل مع نموذج الذكاء الاصطناعي الذي يشغّل الوكيل بوصفه مكوّنًا غير موثوق». والمقارنة: نظام التشغيل يتعامل مع كل عملية باعتبارها غير موثوقة. وينبغي لأنظمة الذكاء الاصطناعي أن تفعل المثل.

لكنها لا تفعل. أحد عشر حالة موثقة تثبت ذلك. لم ترصد أي رقابة بشرية أيًّا من هذه الهجمات في الوقت الفعلي. ولم يوقفها أي إنسان. غادرت البيانات المبنى بسرعة الآلة.