ثغرات المتصفحات الوكيلة تهدد خصوصية المستخدمين: كيف يستغل القراصنة متصفحات الويب الذكية لسرقة البيانات

لم تعد متصفحات الويب مجرد نافذة لعرض الصفحات بل تحولت إلى أنظمة وكيلة ذكية قادرة على القراءة والفهم والتنفيذ نيابة عن المستخدم ومع هذا التحول تظهر مخاطر أمنية عميقة تهدد خصوصية الحسابات والجلسات المفتوحة وعناصر الأمان التقليدية. كشفت دراسات أمان نشرتها شركتا Brave وNeuralTrust خلال 2025 عن سلسلة ثغرات في ما يعرف بالمتصفحات الوكيلة Agentic Browsers حيث يمكن للمهاجمين حقن أوامر مخفية داخل صفحات الويب أو داخل لقطات الشاشة التي يلتقطها المستخدم ليجعل الوكيل الذكي يتصرف بصلاحيات المستخدم نفسه. في هجوم موثق على متصفح Opera Neon الوكيلي اكتشف فريق Brave ثغرة تسمح بحقن أوامر غير مرئية داخل عناصر HTML مخفية فتقوم وكالات الذكاء الاصطناعي بقراءة هذه التعليمات عندما يُطلب منها تلخيص الصفحة أو تحليلها ومن ثم تنفيذ خطوات تؤدي إلى استخراج بيانات مثل البريد الإلكتروني أو معلومات الحساب وإرسالها إلى خوادم المهاجم. وفي متصفح Perplexity Comet أثبت الباحثون إمكانية استغلال لقطات الشاشة التي تحتوي نصًا شبه غير مرئي عبر تقنية OCR لالتقاط وتحويل هذه النصوص إلى أوامر تنفيذية يمرّرها المساعد إلى نموذج اللغة فيُستخدم ذلك للوصول إلى حسابات المستخدم وسرقة رموز التحقق مرة واحدة. وبيّن بحث آخر أن متصفح Fellou الذي صُمم ليكون وكيلاً أوليًا ما زال عُرضة لهجمات تعتمد على تعليمات واضحة داخل صفحات الويب حيث يرسل المتصفح نص الصفحة بالكامل للنموذج فيبدّل نوايا المستخدم ويجبر الوكيل على تنفيذ إجراءات ضارة. كما كشف تحليل لشريط العنوان في متصفح ChatGPT Atlas طريقة جديدة لهندسة سلاسل تشبه روابط المواقع ولكنها تحمل تعليمات لغوية تُعامل كمدخل من المستخدم ما يتيح تنفيذ أوامر خطيرة أو إعادة توجيه للتصيد. تكمن جذور المشكلة في غياب فصل صارم بين المدخلات الموثوقة التي يكتبها المستخدم والمحتوى غير الموثوق القادم من صفحات الويب فعندما يختلطان يتحوّل أي نص خبيث إلى "نية مستخدم" ينفّذه الوكيل بصلاحيات كاملة مما يقوض آليات أمان الويب التقليدية مثل سياسة نفس الأصل. تحث الأبحاث المطوّرين على إعادة تصميم نماذج التفويض والمصادقة داخل المتصفحات الوكيلة وفصل مسارات الإدخال الموثوقة عن المحتوى الخارجي وتطبيق طبقات تحقق قبل تمرير أي مدخل إلى النماذج اللغوية كما تدعو إلى مراجعات أمنية مكثفة وتجارب اختراق استباقية لحماية الجلسات والبيانات الحساسة. تبقى أنواع هجمات حقن الأوامر تحديًا جديدًا أمام مصنعي المتصفحات ومقدمي خدمات الذكاء الاصطناعي، ومع تزايد اعتماد المؤسسات على وكلاء الويب الذكي يجب على فرق الأمن تبنّي آليات متقدمة لرصد ومنع الاستغلال قبل أن يتحول الوكيل من أداة إنتاجية إلى قناة تسريب بيانات. تابعوا AktiTec لمزيد من التحليلات والتوجيهات الفنية حول تأمين المتصفحات الذكية ونماذج المساعدات القائمة على الذكاء الاصطناعي