الفكرة التسويقية وراء وكلاء الذكاء الاصطناعي مغرية للغاية: بدلاً من أن تسأل روبوت محادثة عن إجابة ثم تنسخها إلى مكان آخر، تسلّم الوكيل هدفاً فيتولى تنفيذ العمل بنفسه — يقرأ بريدك الوارد، ويستعلم من قاعدة البيانات، ويفتح تذكرة الدعم، ويرسل البريد الإلكتروني. وهذا الأسبوع انخرطت الصناعة بأكملها في هذا التوجه. فقد أطلقت Google خدمة Managed Agents في واجهتها البرمجية (API)، وأعلنت كل من Microsoft وNvidia عن مكوّنات "احتواء" (containment) جديدة في Windows صُممت تحديداً لتمكين الوكلاء من العمل على حاسوبك دون أن ينفلت زمامهم (Nvidia).
هذه العبارة الأخيرة هي جوهر القصة كلها. فاللحظة التي يتوقف فيها الذكاء الاصطناعي عن الكلام ويبدأ في التنفيذ، يكفّ عن كونه روبوت محادثة ذكياً ويتحول إلى نوع جديد من المستخدمين على شبكتك — مستخدم يمكن خداعه، أو منحه صلاحيات مفرطة، أو ببساطة قد يخطئ. وإذا كان المفهوم جديداً عليك، فإن شرحنا حول ما هم وكلاء الذكاء الاصطناعي فعلاً نقطة انطلاق جيدة. أما هذا المقال فيتناول الجانب الذي تتجاهله العروض التوضيحية: حوار الأمان الذي يجب أن تخوضه قبل أن تسمح لأي وكيل بلمس شيء ذي قيمة.
ما الذي تغيّر فعلاً: من "الإجابة" إلى "الإجراء"
روبوت المحادثة التقليدي نطاق ضرره محدود. فأسوأ ما قد تفعله الإجابة الخاطئة هو تضليلك، وتبقى أنت من يضغط الزر في النهاية. أما الوكيل فمختلف بحكم تصميمه: لديه أدوات (يمكنه استدعاء واجهات API وتشغيل الأكواد وتصفح الويب)، وذاكرة (يتذكر عبر الخطوات المتتالية)، واستقلالية (يقرر الخطوة التالية دون أن يستأذنك في كل مرة).
وهذه الخصائص الثلاث هي بالضبط ما يجعل الوكلاء مفيدين — وهي بالضبط ما يجعلهم خطرين. وقد أصدر مشروع OWASP GenAI Security، الذي ينشر أقرب ما لدى الصناعة من قائمة مخاطر مُجمَع عليها، قائمة "أعلى 10 مخاطر" لعام 2026 خاصة بالتطبيقات الوكيلية (agentic) تحديداً، لأن هذه الأنظمة تُدخل أنماطاً من الإخفاق تتجاوز مجرد "النموذج قال شيئاً خاطئاً" — أموراً مثل إساءة استخدام الأدوات، والاستقلالية المفرطة، وتسميم الذاكرة، وحقن الأوامر (prompt injection) (OWASP).
لنتناول الخطرين الأكثر أهمية من الناحية العملية.
الخطر الأبرز: حقن الأوامر
يظل حقن الأوامر (prompt injection) المشكلة الأمنية التي لن تختفي في عام 2026، ويستحق الفهم لأنه يكسر افتراضاً مريحاً. ففي التطبيق العادي، أنت تثق بالكود ولا تثق بمدخلات المستخدم. أما مع الوكيل، فإن "التعليمات" و"البيانات" تصل في التيار النصي نفسه — وبذلك فإن أي محتوى يقرأه الوكيل (صفحة ويب، بريد إلكتروني، تعليق في كود، ملف PDF) قد يحتوي على تعليمات، وقد يتّبعها النموذج.
وهذا ليس مجرد افتراض نظري. إليك مثالاً حقيقياً تمّ تصحيحه: عرض الباحث الأمني Johann Rehberger الثغرة CVE-2025-53773، حيث تمكنت تعليمات خفية مدسوسة في ملفات يفتحها المطوّر من جعل GitHub Copilot داخل Visual Studio Code يعدّل بصمت ملف settings.json الخاص بالمشروع لتفعيل "وضع YOLO" (chat.tools.autoApprove: true) — مما يعطّل مطالبات الموافقة البشرية ويسمح للوكيل بتشغيل أوامر الـ shell. وقد صنّفتها Microsoft بدرجة خطورة 7.8 (مرتفعة) وأصدرت إصلاحاً لها في تحديث أغسطس (Embrace The Red، NVD).
والجزء المُقلق: لا يوجد إصلاح كامل معروف لحقن الأوامر — بل دفاع متعدد الطبقات فقط. لذا فإن النموذج الذهني الصحيح ليس "هل يمكنني صدّ الهجوم؟"، بل "عندما يتلقى الوكيل تعليمات خبيثة، ما أسوأ ما يمكنه فعله؟" — وهذا يقودنا مباشرة إلى الخطر الثاني.
الخطر الصامت: الاستقلالية المفرطة
"الاستقلالية المفرطة" (excessive agency) هو مصطلح OWASP لأكثر الأخطاء الذاتية شيوعاً: منح الوكيل سلطة أكبر مما تتطلبه مهمته. فالوكيل الذي يملك صلاحية القراءة والكتابة في قاعدة بياناتك الإنتاجية، وإذناً بإرسال البريد باسمك، وبطاقة ائتمان للشركة محفوظة لديه، يمثّل مشكلة سواء اختُطف من قبل مهاجم أو اتخذ قراراً سيئاً من تلقاء نفسه فحسب.
والحل هو أقدم مبدأ في الأمن، مُطبَّق على نوع جديد من الفاعلين: أقل امتياز ممكن (least privilege). ويصوغ OWASP النسخة الوكيلية منه بـ أقل استقلالية (least agency) — أي منح الحد الأدنى من الاستقلالية والوصول اللازم للمهمة المحددة، لا أكثر. فالوكيل الذي يلخّص تذاكر الدعم لا يحتاج إلى صلاحية الكتابة في نظام الفوترة. والوكيل الذي يصوغ الردود لا يحتاج إلى إذن بإرسالها.
أين تتسرّب بيانات الوكلاء فعلاً
إذا نحّينا الضجيج جانباً، فإن معظم حوادث تسريب بيانات الوكلاء الحقيقية تعود إلى قائمة قصيرة من الأنماط. وإليك كيف ترتبط هذه الأنماط بوسائل الدفاع:
| ما الذي يحدث من خطأ | لماذا يحدث | الحاجز الوقائي العملي |
|---|---|---|
| الوكيل يقرأ بيانات خارج نطاق مهمته | الوصول محدّد على مستوى التطبيق لا على مستوى البيانات | افرض الصلاحيات على البيانات نفسها؛ امنح الوكيل هويته الخاصة المحدودة، لا هوية بشرية واسعة |
| سرقة بيانات اعتماد الوكيل | مفاتيح/رموز API طويلة الأمد محفوظة في ملفات الإعداد | بيانات اعتماد قصيرة الأمد ومحدودة النطاق؛ بدّلها دورياً؛ لا تضمّن المفاتيح في الكود أبداً |
| الحقن ← تسريب البيانات | الوكيل يُخدَع لتسريب بيانات يستطيع قراءتها | قيّد ما يمكنه قراءته؛ قيّد الاتصالات الصادرة؛ اطلب موافقة بشرية على الإجراءات الحساسة |
| "لقد فعل شيئاً للتو" | استقلالية مفرطة دون سجلّ تدقيق | إشراك بشري في الخطوات عالية الأثر؛ سجّل كل استدعاء أداة |
لا شيء من هذا غريب أو معقّد. إنه الانضباط نفسه في الهوية والوصول والتسجيل الذي يحمي الموظفين البشر — مُطبَّقاً على عامل غير بشري يتصرف بسرعة أكبر ولا يتعب أبداً. وإن لم تكن مؤسستك قد أتقنت الأساسيات بعد، فابدأ أولاً بدليلنا حول أساسيات الأمن السيبراني للشركات الصغيرة؛ فالوكلاء يُضخّمون أي وضع أمني تنطلق منه أصلاً.
قائمة تحقق قبل النشر
قبل أن يدخل الوكيل الخدمة بوصول إلى أنظمة حقيقية، ينبغي أن تكون قادراً على الإجابة بـ "نعم" عن هذه الأسئلة:
- هوية محدودة النطاق؟ يملك الوكيل بيانات اعتماده الخاصة بأضيق الصلاحيات اللازمة لمهمته — لا حساب مدير مُستعار.
- أقل استقلالية؟ لا يمكنه استدعاء سوى الأدوات المحددة التي يحتاجها؛ وكل ما عداها مرفوض افتراضياً.
- إشراك بشري في الأمور الخطيرة؟ إرسال الأموال، حذف البيانات، مراسلة العملاء، تغيير الإعدادات ← يتطلب موافقة بشرية.
- التعامل مع المدخلات غير الموثوقة بوصفها كذلك؟ أي شيء يقرأه الوكيل من الويب أو البريد أو ملفات المستخدم يُفترض أنه قد يحتوي على تعليمات مدسوسة.
- معزول في بيئة آمنة (Sandbox)؟ تنفيذ الكود والوصول إلى الملفات والنظام يجريان في بيئة محتواة (وهو بالضبط ما تبنيه Microsoft وNvidia الآن داخل Windows).
- مسجّل وقابل للتراجع؟ كل استدعاء أداة مُسجَّل، والإجراءات عالية الأثر يمكن مراجعتها أو التراجع عنها.
إن لم تستطع الإجابة بـ "نعم"، فالوكيل ليس جاهزاً لهذا المستوى من الوصول — فأسنِد إليه مهمة أصغر.
الجدوى التجارية بصدق
الحذر الأمني ليس موقفاً معادياً للذكاء الاصطناعي؛ بل هو ما يُبقي هذه المشاريع على قيد الحياة. فقد توقعت Gartner أن أكثر من 40% من مشاريع الذكاء الاصطناعي الوكيلي ستُلغى بحلول نهاية 2027، مستشهدةً بتصاعد التكاليف، وغموض القيمة التجارية، وضعف ضوابط المخاطر — وحذّرت من ظاهرة "غسيل الوكلاء" (agent washing)، مقدّرةً أن نسبة ضئيلة فقط من الموردين الذين يصفون أنفسهم بالوكيليين هم كذلك فعلاً (Gartner).
والوجه الآخر لتوقّع Gartner نفسه هو أن المشاريع الناجية حقيقية: إذ لا تزال الشركة تتوقع أن تضمّ شريحة معتبرة من برمجيات المؤسسات ذكاءً اصطناعياً وكيلياً بحلول 2028. والفائزون لن يكونوا من ينشرون الوكلاء الأسرع — بل من ينشرونهم مع حواجز وقائية تتيح لهم الاستمرار في العمل بعد الحادثة الأولى.
الخلاصة
وكلاء الذكاء الاصطناعي مفيدون فعلاً، وعام 2026 هو عام انتقالهم من العرض التوضيحي إلى النشر الفعلي — راجع نبض التقنية لهذا اليوم لترى مدى سرعة تسابق المنصّات هنا. لكن "يمكنه أن ينفّذ إجراءات نيابة عنك" و"يمكنه أن ينفّذ إجراءات نيابة عن مهاجم" هما الجملة ذاتها. تعامل مع الوكيل كموظف جديد لم تقابله قط: امنحه أصغر قدر ممكن من الوصول، وراقب ما يفعله، وتأكد من أن إنساناً يوافق على أي شيء قد تندم عليه. افعل ذلك، يتحول الوكيل إلى زميل قوي بدلاً من أن يكون أكثر مسؤولياتك خطورةً بسبب فرط صلاحياته.
نحن نربط بالمصادر الأولية (OWASP وNVD وGartner) كي تتمكن من التحقق، ونصنّف ادعاءات الشركات وتوقعاتها على أنها كذلك تماماً. والإرشادات الأمنية هنا عامة — فكيّفها مع أنظمتك ومستوى تحمّلك للمخاطر.
