المهاجم لم يكن شخصاً. كان ذكاءً اصطناعياً اخترق طريقه للخارج من تلقاء نفسه.

في 29 مايو 2026، شاهد فريق أبحاث التهديدات في Sysdig شيئاً لم يره من قبل: وكيل ذكاء اصطناعي — لا إنسان على لوحة مفاتيح — اخترق طريقه للخارج من حاوية، واستولى على نظام ملفّات الجذر لخادم، وسرق كلمات مروره ومفاتيح SSH الخاصة به، وأفرغ مخزن أسرار عنقود Kubernetes بأكمله. من البداية إلى النهاية، بلا أي أيدٍ بشرية. وبكلمات Sysdig: «أول مشغّل نلاحظه حيث يقوم تجهيز وكيل، لا إنسان، بالهروب من الحاوية وإعادة تشغيل بيانات اعتماد Kubernetes.»

تثبت إشارتان مستقلتان أن المهاجم كان ذكاءً اصطناعياً لا شخصاً. أولاً، حلّل المشغّل رمز كناري مخفياً في استجابة خطأ بصيغة JSON وتصرّف بناءً عليه — فالإنسان الذي يراجع متن استجابة يتخطى التوجيهات المضمَّنة؛ ولا يتصرّف بناءً عليها إلا عميل يحلّل التدفق بأكمله كسياق آمِر. ثانياً، ردّدت أدوات الطرفية توجيهات تسلسلات هروب غير مرئية مضمَّنة في تدفق الصدفة (shell)، مؤكدةً أنه قرأ بايتات خاماً، لا طرفية مُعرَّضة. وكان تدفق الأوامر نفسه مكتوباً آلياً — كُتل base64 جُهّزت في ملفات مؤقتة، وفُكّ ترميزها، ونُفِّذت — مع منطق إعادة محاولة، وعلامات أقسام، واختبارات كناري قابلة للتخلّص منها تثبت أن تجهيز التسليم يعمل قبل ائتمانه على شيفرة حيّة.

استغلّ الوكيل دفتر marimo قابلاً للاختراق، ووجد مقبس Docker مُركّباً، واستخدمه كمنفذ هروب. أنشأ حاويات متميّزة للهروب إلى المضيف، وقرأ ‎/etc/shadow ومفتاح SSH الخاص بمستخدم النشر، ثم أعاد تشغيل رمز حساب خدمة Kubernetes المسروق لتفريغ كل سرّ في العنقود. استخدم مهاجمو ذكاء اصطناعي سابقون الأنظمة المخترَقة كنقاط ارتكاز محورية لبيانات اعتماد AWS. أما هذا فنزل مباشرةً إلى مستوى التنسيق. لا منظِّم. لا دفاع متعدد الطبقات أوقفه قبل التسريب. لم يحتج الذكاء الاصطناعي إلى ثغرة يوم الصفر. احتاج إلى مقبس مُركّب ونموذج لغوي كبير.