ثغرة معمارية في بروتوكول MCP تهدد سلسلة توريد الذكاء الاصطناعي للبنوك السعودية

كشفت شركة الأبحاث الأمنية OX Security خلال أبريل 2026 عن خلل معماري حرج في بروتوكول Model Context Protocol (MCP) — البروتوكول المرجعي الذي تعتمد عليه أغلب أنظمة الـ Agentic AI لربط النماذج اللغوية الكبيرة بالأنظمة الداخلية والخارجية. تشير التقديرات إلى أن أكثر من 200,000 خادم MCP حول العالم معرّض حالياً لتنفيذ أوامر عن بُعد (RCE)، مع وجود أكثر من 7,000 خادم متاح علناً على الإنترنت. هذا الخلل لا يمثّل ثغرة عابرة قابلة للترقيع — بل قرار تصميمي مدمج في الـ SDKs الرسمية عبر Python وTypeScript وJava وRust.

طبيعة الخلل المعماري في بروتوكول MCP

المشكلة لا تكمن في كود قابل للإصلاح بتحديث، بل في طريقة عمل نموذج تنفيذ STDIO الذي يعتمده MCP افتراضياً. عندما يستقبل خادم MCP أمراً أو استعلاماً، فإنه يمرّر المدخلات إلى عمليات النظام دون تطهير (sanitization) إلزامي على مستوى البروتوكول. تمكّن باحثو OX Security من تنفيذ أوامر فعلية على ست منصات إنتاج حقيقية لدى عملاء يدفعون مقابل الخدمة، وتسميم تسعة من أصل أحد عشر سجل MCP اختبروها. النتيجة: أي مكوّن في سلسلة توريد الذكاء الاصطناعي — من النموذج إلى الأداة المربوطة به — قد يصبح بوابة دخول للمهاجم مباشرة إلى بيانات حساسة أو مفاتيح API أو سجلات محادثات.

حجم الانكشاف عبر السلسلة

أصدرت OX Security أكثر من 30 إفصاحاً مسؤولاً، نتج عنها ما يزيد عن 10 CVEs بدرجة عالية أو حرجة، شملت مشاريع مرجعية مثل LiteLLM وLangChain وIBM LangFlow. الأخطر أن إجمالي التحميلات للحزم المتأثرة يتجاوز 150 مليون تحميل، مما يعني أن أي مؤسسة تبني خط أنابيب ذكاء اصطناعي حديث تعتمد على هذه المكوّنات بشكل شبه حتمي. أعلنت Anthropic أن هذا السلوك بحكم التصميم وأن مسؤولية تطهير المدخلات تقع على المطوّر، وهو موقف فني مفهوم — لكنه ينقل عبء الحوكمة بالكامل إلى فرق الأمن داخل المؤسسات المعتمدة على البروتوكول.

التأثير المباشر على المؤسسات المالية السعودية

تتسارع البنوك والشركات المالية في المملكة نحو تبنّي الـ Agentic AI لأتمتة خدمة العملاء، تحليل الاحتيال، فحص الامتثال، ومراجعة العقود. أي تكامل لهذه الوكلاء مع أنظمة Core Banking أو منصات KYC أو مستودعات بيانات العملاء عبر MCP يخلق سطح هجوم جديد لم يكن موجوداً قبل عامين. وفق متطلبات SAMA Cyber Security Compliance Certification (CSCC)، تُلزَم المؤسسات بإجراء تقييم مخاطر للأطراف الثالثة (TPRM) على كل مكوّن تقني يُعالج بيانات تشغيلية أو بيانات عملاء. كذلك يفرض إطار NCA ECC ضوابط محددة على إدارة مخاطر سلسلة التوريد البرمجية تحت Subdomain 2-10، فيما يُلزم نظام حماية البيانات الشخصية PDPL بضمان أن أي معالج بيانات — سواء كان نموذجاً أو وكيلاً — يخضع لذات معايير الحماية المطبّقة على المشغّل الأساسي. الخادم الذي يعمل بـ MCP وغير مُحكَم التهيئة قد يُعتبر فعلياً ثغرة امتثال قبل أن يُعتبر ثغرة تقنية.

التوصيات العملية لفِرق الأمن والامتثال

1. جرد فوري لخوادم MCP: ابدأ بحصر كل خادم MCP داخل بيئتك، سواء كان منشوراً علناً أو معزولاً داخل VPC، واعتبره أصلاً عالي الحساسية في سجل الأصول (CMDB).
2. عزل شبكي صارم: ضع كل خوادم MCP خلف بوابات API مع mTLS وقواعد جدار حماية تمنع أي اتصال خارج النطاقات المصرح بها فقط.
3. تطهير المدخلات يدوياً: لا تعتمد على البروتوكول، بل أضف طبقة Input Validation و Allow-Listing للأوامر المسموح بها فقط، مع رفض أي محتوى يحوي شل أو حقن أوامر.
4. مراقبة سلوكية للوكلاء: فعّل تسجيل تفصيلي لكل استدعاء أداة من قبل الوكيل، واربطه بـ SIEM/SOC مع قواعد كشف للاستخدامات غير الاعتيادية (تنفيذ أوامر نظام، الوصول لملفات حساسة، استدعاءات شبكية مفاجئة).
5. تحديث TPRM ليشمل سلسلة AI: أضف بنوداً صريحة في عقود الموردين تشترط الإفصاح عن استخدام MCP والـ SDKs المعنية، ومراجعة دورية لمكتبات LiteLLM و LangChain و LangFlow.
6. اختبار اختراق متخصص: اطلب جولة Pentest موجّهة لطبقة الذكاء الاصطناعي تحديداً، تشمل سيناريوهات Prompt Injection و Tool Poisoning و Registry Hijacking.
7. التوافق مع SAMA و NCA: ادمج هذه الضوابط في تقرير المخاطر السنوي المرفوع للجنة المخاطر، مع إثبات تطبيق الضوابط التعويضية (compensating controls) لمعالجة الخلل المعماري.

الخلاصة

الذكاء الاصطناعي الوكيل (Agentic AI) ليس موجة عابرة، وبروتوكول MCP يكاد يكون البنية التحتية الافتراضية لربطه بالأنظمة الحساسة. الخلل الذي كشفته OX Security يذكّر فرق الأمن السعودية بقاعدة أساسية: كل تقنية جديدة تدخل البنك يجب أن تمر عبر بوابة GRC قبل بوابة الإنتاج. اعتبار MCP مكوّناً موثوقاً افتراضياً هو خطأ تكلفته قد تتجاوز أي هجوم تقليدي، لأنه يضع المهاجم مباشرة في قلب طبقة اتخاذ القرار الآلي.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، ومراجعة تخصصية لطبقة الذكاء الاصطناعي وسلسلة توريدها.