تقوم صفحات الويب الضارة باختطاف عملاء الذكاء الاصطناعي، وبعضهم يلاحق حساب PayPal الخاص بك
باختصار
ووثقت جوجل زيادة بنسبة 32% في هجمات الحقن الفوري الضارة غير المباشرة بين نوفمبر 2025 وفبراير 2026، والتي استهدفت عملاء الذكاء الاصطناعي الذين يتصفحون الويب.
تضمنت الحمولات الحقيقية الموجودة في البرية تعليمات معاملات PayPal المحددة بالكامل والمضمنة بشكل غير مرئي في HTML العادي، والتي تستهدف الوكلاء الذين يتمتعون بقدرات الدفع.
لا يوجد إطار قانوني حاليًا يحدد المسؤولية عندما ينفذ وكيل الذكاء الاصطناعي الذي يتمتع ببيانات اعتماد مشروعة أمرًا زرعه موقع ويب ضار تابع لجهة خارجية.
يقوم المهاجمون بهدوء بتفخيخ صفحات الويب مع تعليمات غير مرئية مصممة لعملاء الذكاء الاصطناعي، وليس للقراء البشريين. ووفقا لفريق الأمن في جوجل، فإن المشكلة تتزايد بسرعة.
في تقرير نُشر في 23 أبريل، قام باحثو جوجل، توماس برونر، ويو هان ليو، وموني باندي بمسح ما بين 2 إلى 3 مليار صفحة ويب يتم الزحف إليها شهريًا بحثًا عن هجمات الحقن الفوري غير المباشرة، وهي أوامر مخفية مضمنة في مواقع الويب التي تنتظر وكيل الذكاء الاصطناعي لقراءتها ثم اتباع الأوامر. ووجدوا قفزة بنسبة 32% في الحالات الخبيثة بين نوفمبر 2025 وفبراير 2026.
يقوم المهاجمون بتضمين تعليمات في صفحة ويب بطرق غير مرئية للبشر: تقليص النص إلى بكسل واحد، أو استنزاف النص إلى ما يقرب من الشفافية، أو إخفاء المحتوى في أقسام تعليقات HTML، أو الأوامر المدفونة في البيانات الوصفية للصفحة. يقرأ الذكاء الاصطناعي HTML الكامل. الإنسان لا يرى شيئا.
معظم ما وجدته جوجل كان منخفض الجودة، مثل المقالب، والتلاعب بمحرك البحث، ومحاولات منع عملاء الذكاء الاصطناعي من تلخيص المحتوى. على سبيل المثال، كانت هناك بعض المطالبات التي حاولت إخبار الذكاء الاصطناعي بـ "التغريد مثل الطائر".
لكن الحالات الخطيرة قصة مختلفة. طلبت إحدى الحالات من LLM إعادة عنوان IP الخاص بالمستخدم إلى جانب كلمات المرور الخاصة به. وحاولت حالة أخرى التلاعب بالذكاء الاصطناعي لتنفيذ أمر يقوم بتنسيق جهاز مستخدمي الذكاء الاصطناعي.
لكن الحالات الأخرى تعتبر جنائية على الحدود.
نشر الباحثون في شركة فورس بوينت للأمن السيبراني تقريرًا في وقت واحد تقريبًا، ووجدوا حمولات ذهبت إلى أبعد من ذلك. قام أحدهما بتضمين معاملة PayPal محددة بالكامل مع تعليمات خطوة بخطوة تستهدف وكلاء الذكاء الاصطناعي ذوي إمكانات الدفع المتكاملة، وذلك أيضًا باستخدام تقنية كسر الحماية الشهيرة "تجاهل جميع التعليمات السابقة".
استخدم الهجوم الثاني تقنية تسمى "حقن مساحة اسم العلامة الوصفية" جنبًا إلى جنب مع كلمة رئيسية لمضخم الإقناع لتوجيه المدفوعات بوساطة الذكاء الاصطناعي نحو رابط تبرع Stripe. ويبدو أن الهدف الثالث مصمم لاستكشاف أنظمة الذكاء الاصطناعي المعرضة للخطر بالفعل، أي الاستطلاع قبل وقوع ضربة أكبر.
هذا هو جوهر مخاطر المؤسسة. وكيل الذكاء الاصطناعي الذي يتمتع ببيانات اعتماد دفع مشروعة، وينفذ معاملة يقرأها من موقع ويب، ينتج سجلات تبدو مماثلة للعمليات العادية. لا يوجد تسجيل الدخول الشاذة. لا القوة الغاشمة. لقد فعل الوكيل بالضبط ما أُذن له به، فقد تلقى للتو تعليماته من المصدر الخطأ.
أظهر هجوم CopyPasta الذي تم توثيقه في سبتمبر الماضي كيف يمكن أن تنتشر عمليات الحقن السريع عبر أدوات المطورين عن طريق الاختباء داخل ملفات "readme". المتغير المالي هو نفس المفهوم المطبق على المال بدلاً من الكود، وبتأثير أعلى بكثير لكل نتيجة ناجحة.
كما يوضح Forcepoint، فإن الذكاء الاصطناعي للمتصفح الذي يمكنه تلخيص المحتوى فقط يعد منخفض المخاطر. يعد الذكاء الاصطناعي الوكيل الذي يمكنه إرسال رسائل البريد الإلكتروني أو تنفيذ الأوامر الطرفية أو معالجة المدفوعات فئة مختلفة تمامًا من الأهداف. يتوسع سطح الهجوم بامتياز.
ولم تعثر جوجل ولا فورس بوينت على دليل على وجود حملات معقدة ومنسقة. لاحظت Forcepoint أن قوالب الحقن المشتركة عبر نطاقات متعددة "تقترح أدوات منظمة بدلاً من التجارب المنعزلة" - مما يعني أن شخصًا ما يقوم ببناء بنية تحتية لهذا الغرض، حتى لو لم ينشرها بالكامل بعد.
لكن جوجل كانت أكثر مباشرة: قال فريق البحث إنه يتوقع أن ينمو حجم وتعقيد هجمات الحقن السريع غير المباشرة في المستقبل القريب. ويحذر باحثو Forcepoint من أن الفرصة المتاحة للتغلب على هذا التهديد تنغلق بسرعة.
سؤال المسؤولية هو السؤال الذي لم يجيب عليه أحد. عندما يقرأ وكيل الذكاء الاصطناعي الذي لديه بيانات اعتماد معتمدة من الشركة صفحة ويب ضارة ويبدأ عملية تحويل احتيالية عبر PayPal، فمن الذي يقع في مأزق؟ المؤسسة التي نشرت الوكيل؟ موفر النموذج الذي اتبع نظامه التعليمات المحقونة؟ صاحب الموقع الذي استضاف الحمولة سواء عن علم أم لا؟ ولا يوجد إطار قانوني يغطي هذا الأمر حاليًا. هذه منطقة رمادية على الرغم من أن السيناريو لم يعد نظريًا، حيث عثرت Google على الحمولات في فبراير الماضي.
يصنف مشروع Open Worldwide Application Security Project الحقن الفوري على أنه LLM01:2025، وهي فئة الثغرات الأكثر أهمية في تطبيقات الذكاء الاصطناعي. تتبع مكتب التحقيقات الفيدرالي (FBI) ما يقرب من 900 مليون دولار من خسائر الاحتيال المتعلقة بالذكاء الاصطناعي في عام 2025، وهو عامه الأول الذي يسجل هذه الفئة بشكل منفصل. تشير النتائج التي توصلت إليها Google إلى أن الهجمات المالية الأكثر استهدافًا والمخصصة للوكلاء قد بدأت للتو.
وتغطي الزيادة البالغة 32% التي تم قياسها بين نوفمبر 2025 وفبراير 2026 صفحات الويب العامة الثابتة فقط. وسائل التواصل الاجتماعي، والمحتوى المحمي بتسجيل الدخول، والجلوس الديناميكي