حقن الأوامر في وكلاء الذكاء الاصطناعي: EchoLeak يهدد بنوك SAMA

في أبريل 2026، رصد الباحثون قفزة بنسبة 340% في هجمات حقن الأوامر (Prompt Injection) ضد وكلاء الذكاء الاصطناعي المؤسسية، تُوّجت بثغرة EchoLeak (CVE-2025-32711) في Microsoft 365 Copilot التي تتيح تسريب بيانات المؤسسات بدون نقرة واحدة من المستخدم. مع توجّه بنوك SAMA لاعتماد مساعدات الذكاء الاصطناعي في خدمة العملاء وتحليل المخاطر، تُمثّل هذه الموجة تهديداً مباشراً للسرية المصرفية والامتثال التنظيمي.

EchoLeak: أول استغلال صفري النقر لـ Copilot في بيئة إنتاج

كشفت شركة Aim Labs ثغرة EchoLeak (CVE-2025-32711) بدرجة CVSS 9.3 في Microsoft 365 Copilot، وأعلنت Microsoft عنها في يونيو 2025 ضمن Patch Tuesday. آلية الهجوم بسيطة وخطيرة في الوقت ذاته: يُرسل المهاجم رسالة بريد إلكتروني واحدة تحتوي على تعليمات مُضمَّنة بتنسيق Markdown مرجعي، فيقوم Copilot — عند قراءة سياق صندوق البريد لاحقاً — بتنفيذ هذه التعليمات تلقائياً ضمن طبقة الاسترجاع المُعزَّز بالتوليد (RAG).

تستغل سلسلة الهجوم تجاوزَ مُصنّف XPIA الخاص بـ Microsoft، وإخفاء الروابط بصيغة Markdown مرجعية، وإساءة استخدام بروكسي Microsoft Teams المسموح به في سياسة CSP، لتسريب محتوى OneDrive وSharePoint ومحادثات Teams إلى خادم المهاجم. الخطورة الحقيقية هنا ليست في الثغرة بحد ذاتها — فقد أصلحتها Microsoft — بل في النموذج المعماري نفسه: أي نظام RAG يقرأ بيانات غير موثوقة (بريد، مستندات مشتركة، تذاكر دعم) ويملك صلاحيات على بيانات حساسة معرّض لنفس النمط من الاستغلال.

موجة 2026: الثلاثي القاتل في وكلاء الذكاء الاصطناعي

صاغ الباحث سايمون ويلسون مفهوم "الثلاثي القاتل" (Lethal Trifecta) لوصف وكلاء الذكاء الاصطناعي المعرضين للخطر: نموذج يتلقى مدخلات غير موثوقة، ويملك صلاحية الوصول إلى بيانات حساسة، ويستطيع الاتصال بالخارج. في مارس 2026، نجح تعليق واحد في طلب سحب على GitHub في كشف مفتاح API الخاص بأداة Claude Code Security Review، ثم تكرر نفس الاستغلال على Gemini CLI Action وGitHub Copilot Agent. تتوقع Gartner أن 40% من تطبيقات المؤسسات ستدمج وكلاء ذكاء اصطناعي قبل نهاية 2026، مما يضاعف سطح الهجوم بشكل غير مسبوق.

الجديد في 2026 هو الانتقال من حقن الأوامر المباشر (يطلب المستخدم تجاوز التعليمات) إلى الحقن غير المباشر (Indirect Prompt Injection) المُضمَّن في فاتورة مورّد، أو تذكرة عميل، أو منشور على لينكدإن — حيث يستهلك الوكيل المحتوى تلقائياً ضمن سير العمل الاعتيادي دون أي تدخل بشري.

التأثير على المؤسسات المالية السعودية

بدأت بنوك SAMA باعتماد Microsoft 365 Copilot وأدوات مماثلة لأتمتة تحليل المخاطر، توليد تقارير الامتثال، وإدارة محادثات خدمة العملاء. هذا الاعتماد يُدخل سطح هجوم جديد لا تُغطيه ضوابط CSCC التقليدية. تنص الضابطة 3.3.5 من إطار SAMA CSCC على ضرورة حماية البيانات السرية ومنع التسريب، بينما تُلزم NCA ECC ضمن ضابطة 2-12 بحوكمة استخدام التقنيات الناشئة. أما نظام حماية البيانات الشخصية PDPL فيُحمّل المؤسسة مسؤولية أي معالجة غير مصرّح بها للبيانات الشخصية — حتى لو كانت بسبب وكيل ذكاء اصطناعي تعرّض لحقن أوامر غير مباشر.

سيناريو واقعي: محلل ائتمان في بنك يطلب من Copilot تلخيص رسائل العميل الواردة. تحتوي رسالة واحدة من المهاجم على تعليمات مخفية تأمر Copilot بإرسال آخر 50 محادثة من Teams إلى رابط خارجي مموَّه. النتيجة: تسريب معلومات ائتمانية حساسة دون أي خرق تقني تقليدي، ودون أن يدري الموظف أو فريق SOC. مثل هذا الحادث قد يُصنَّف ضمن المادة 22 من PDPL كانتهاك مادي يستوجب الإبلاغ خلال 72 ساعة.

التوصيات والخطوات العملية

1. طبّق سياسة منع تسرب البيانات (DLP) على مستوى Microsoft Purview مع تصنيف الفئات الحساسة (PII، بيانات الحسابات، تقارير الامتثال) قبل تفعيل أي وكيل ذكاء اصطناعي على بيئة الإنتاج.
2. قيّد صلاحيات Copilot على أساس الحد الأدنى (Least Privilege) باستخدام Sensitivity Labels، وامنع وصوله إلى مكتبات SharePoint التي تحتوي بيانات SAMA السرية أو سجلات التدقيق.
3. فعّل Microsoft Defender for Cloud Apps لرصد سلوك Copilot الشاذ، خاصة استدعاءات الشبكة لنطاقات غير معتمدة أو محاولات استرجاع بيانات خارج النمط المعتاد.
4. أنشئ بيئة اختبار AI Red Team لمحاكاة هجمات حقن الأوامر غير المباشر (إيميلات، PDF، تذاكر دعم)، ووثّق النتائج ضمن سجل المخاطر السيبرانية المطلوب من SAMA.
5. حدّث سياسات الاستخدام المقبول (AUP) لتشمل وكلاء الذكاء الاصطناعي، ودرّب الموظفين على عدم تمرير محتوى خارجي غير موثوق إلى الوكلاء دون فحص.
6. أضف ضوابط مراقبة على بوابة البريد الإلكتروني (Email Gateway) لاكتشاف Markdown مرجعي مشبوه أو تعليمات مدسوسة في حقول النصوص الطويلة.
7. راجع عقود الموردين السحابيين لضمان توافر سجلات تدقيق كاملة لاستدعاءات الوكيل، تلبيةً لمتطلبات إدارة مخاطر الطرف الثالث (TPRM) في SAMA CSCC الضابطة 4.1.

الخلاصة

EchoLeak ليست حادثة معزولة، بل مؤشر على حقبة جديدة من الهجمات تستهدف الطبقة المعرفية لوكلاء الذكاء الاصطناعي بدلاً من الكود التقليدي. على بنوك SAMA أن تتعامل مع كل وكيل ذكاء اصطناعي كأنه مستخدم مميّز يحتاج حوكمة كاملة، وضوابط منع تسرّب صارمة، واختبار اختراق دوري متخصص. الاستهانة بهذه الجبهة قد تُترجَم لاحقاً إلى عقوبات تنظيمية وفقدان ثقة العملاء وتحقيقات من البنك المركزي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC.