ثغرة “Comment and Control” تهدد أدوات الذكاء الاصطناعي البرمجية عبر تعليقات GitHub

كشف باحثون في الأمن السيبراني عن فئة جديدة وخطيرة من هجمات حقن الأوامر (Prompt Injection) تحمل اسم “Comment and Control”، تستهدف أدوات الذكاء الاصطناعي المخصصة للبرمجة، من خلال استغلال تعليقات ومحتوى المشاريع على منصة GitHub.

وتعتمد هذه الهجمات على استغلال عناوين طلبات السحب (Pull Requests) أو نصوص القضايا (Issues) أو التعليقات، لحقن أوامر خبيثة داخل سياق عمل أدوات الذكاء الاصطناعي، ما يؤدي إلى تسريب مفاتيح API وبيانات حساسة مباشرة من بيئات CI/CD.

أدوات متأثرة

أكد الباحث Aonan Guan أن ثلاث أدوات رئيسية تأثرت بهذه الثغرة، وهي:

• Claude Code Security Review من شركة Anthropic
• Gemini CLI Action من Google
• GitHub Copilot Agent

كيف يعمل الهجوم؟

يتم تنفيذ الهجوم بالكامل داخل GitHub دون الحاجة إلى خوادم خارجية، حيث يقوم المهاجم بـ:

1. نشر تعليق أو عنوان طلب سحب يحتوي على تعليمات خبيثة
2. يقوم وكيل الذكاء الاصطناعي بقراءة المحتوى واعتباره موثوقًا
3. تنفيذ الأوامر المرفقة
4. تسريب البيانات الحساسة عبر تعليق أو commit داخل المشروع

أخطر السيناريوهات المكتشفة

1. استغلال Claude Code لتنفيذ أوامر عن بُعد
في أداة Claude، يتم إدخال عنوان طلب السحب مباشرة في موجه الأوامر دون أي تصفية، ما يسمح للمهاجم بتنفيذ أوامر مثل استخراج المتغيرات البيئية، بما فيها مفاتيح API.

2. تسريب مفاتيح Gemini عبر التعليقات
في أداة Gemini، يمكن للمهاجم إدراج محتوى مزيف يتجاوز تعليمات الأمان، ما يؤدي إلى نشر مفتاح GEMINI_API_KEY علنًا داخل التعليقات.

3. تجاوز حماية Copilot متعددة الطبقات
تمكن الباحثون من تجاوز ثلاث آليات حماية في Copilot تشمل:

• تصفية المتغيرات البيئية
• فحص الأسرار (Secrets Scanning)
• جدار الحماية

وذلك باستخدام تقنيات مثل قراءة الذاكرة من العمليات، وترميز البيانات بصيغة Base64 لتجنب الاكتشاف، ثم تسريبها عبر عمليات git عادية.

خطورة إضافية: هجوم مخفي

يمكن إخفاء التعليمات الخبيثة داخل تعليقات HTML غير مرئية للمستخدم، لكنها تُقرأ من قبل الذكاء الاصطناعي، ما يجعل الهجوم أكثر خفاءً وخطورة.

السبب الجذري

تشترك جميع هذه الثغرات في مشكلة واحدة:
تمرير بيانات غير موثوقة من GitHub إلى أنظمة ذكاء اصطناعي تمتلك صلاحيات واسعة وأسرار حساسة داخل نفس بيئة التشغيل.

تحذيرات واسعة النطاق

يحذر خبراء الأمن من أن هذا النوع من الهجمات لا يقتصر على GitHub فقط، بل يمكن أن يمتد إلى أدوات أخرى مثل:

• بوتات Slack
• أنظمة Jira
• وكلاء البريد الإلكتروني
• أنظمة النشر الآلي (Deployment Pipelines)

توصيات أمنية

لتقليل المخاطر، ينصح الخبراء بما يلي:

• استخدام قائمة سماح (Allowlist) للأدوات بدلًا من الحظر
• تطبيق مبدأ أقل صلاحية (Least Privilege) على المفاتيح
• إضافة موافقة بشرية قبل تنفيذ العمليات الحساسة
• مراجعة تكاملات الذكاء الاصطناعي داخل CI/CD بشكل دوري
• مراقبة السجلات لاكتشاف أي نشاط غير طبيعي

الخلاصة:

تكشف ثغرة “Comment and Control” عن تحدٍ جديد في أمن الذكاء الاصطناعي، حيث يمكن لمحتوى بسيط داخل GitHub أن يتحول إلى نقطة اختراق خطيرة، ما يستدعي إعادة التفكير في كيفية دمج هذه الأدوات داخل بيئات التطوير بشكل آمن.