اعتماد بروتوكول سياق النموذج (MCP) يضيف قدرات قوية جديدة لتطبيقات الذكاء الاصطناعي، لكنه يجلب أيضاً تحديات أمنية فريدة تتجاوز مخاطر البرمجيات التقليدية. إلى جانب المخاوف المعروفة مثل البرمجة الآمنة، مبدأ أقل الامتيازات، وأمن سلسلة التوريد، يواجه MCP وأعباء العمل الخاصة بالذكاء الاصطناعي تهديدات جديدة مثل حقن الأوامر، تسميم الأدوات، وتعديل الأدوات الديناميكي. هذه المخاطر قد تؤدي إلى تسريب البيانات، انتهاكات الخصوصية، وسلوك غير مقصود للنظام إذا لم تتم إدارتها بشكل صحيح.
تستعرض هذه الدرس أبرز المخاطر الأمنية المتعلقة بـ MCP — بما في ذلك المصادقة، التفويض، الأذونات المفرطة، حقن الأوامر غير المباشر، وثغرات سلسلة التوريد — وتقدم ضوابط عملية وأفضل الممارسات للتخفيف منها. ستتعلم أيضاً كيفية استخدام حلول مايكروسوفت مثل Prompt Shields، أمان محتوى أزور، وGitHub Advanced Security لتعزيز تنفيذ MCP الخاص بك. من خلال فهم وتطبيق هذه الضوابط، يمكنك تقليل احتمال حدوث خرق أمني بشكل كبير وضمان بقاء أنظمة الذكاء الاصطناعي الخاصة بك قوية وموثوقة.
بنهاية هذا الدرس، ستكون قادراً على:
- تحديد وشرح المخاطر الأمنية الفريدة التي يطرحها بروتوكول سياق النموذج (MCP)، بما في ذلك حقن الأوامر، تسميم الأدوات، الأذونات المفرطة، وثغرات سلسلة التوريد.
- وصف وتطبيق ضوابط فعالة لتخفيف مخاطر أمان MCP، مثل المصادقة القوية، مبدأ أقل الامتيازات، إدارة الرموز الآمنة، والتحقق من سلسلة التوريد.
- فهم واستخدام حلول مايكروسوفت مثل Prompt Shields، أمان محتوى أزور، وGitHub Advanced Security لحماية MCP وأعباء عمل الذكاء الاصطناعي.
- التعرف على أهمية التحقق من بيانات وصف الأدوات، مراقبة التغييرات الديناميكية، والدفاع ضد هجمات حقن الأوامر غير المباشرة.
- دمج أفضل ممارسات الأمان المعتمدة — مثل البرمجة الآمنة، تعزيز الخوادم، وهندسة الثقة الصفرية — في تنفيذ MCP الخاص بك لتقليل احتمال وتأثير الخروقات الأمنية.
أي نظام يصل إلى موارد مهمة يواجه تحديات أمنية ضمنية. يمكن معالجة هذه التحديات بشكل عام من خلال التطبيق الصحيح للضوابط والمفاهيم الأمنية الأساسية. وبما أن MCP معرف حديثاً، فإن المواصفات تتغير بسرعة مع تطور البروتوكول. مع مرور الوقت، ستنضج الضوابط الأمنية داخله، مما يتيح تكاملاً أفضل مع البنى الأمنية المؤسسية والممارسات المثلى المعتمدة.
تشير الأبحاث المنشورة في تقرير الدفاع الرقمي لمايكروسوفت إلى أن 98% من الخروقات المبلغ عنها يمكن منعها من خلال ممارسات أمنية صارمة، وأفضل حماية ضد أي خرق هي ضمان صحة ممارسات الأمان الأساسية مثل النظافة الأمنية، البرمجة الآمنة، وأمن سلسلة التوريد — تلك الممارسات المجربة والمختبرة التي نعرفها لا تزال الأكثر تأثيراً في تقليل المخاطر الأمنية.
دعونا نلقي نظرة على بعض الطرق التي يمكنك من خلالها بدء معالجة المخاطر الأمنية عند اعتماد MCP.
ملاحظة: المعلومات التالية صحيحة حتى 29 مايو 2025. بروتوكول MCP يتطور باستمرار، وقد تقدم التحديثات المستقبلية أنماط مصادقة وضوابط جديدة. للحصول على آخر التحديثات والإرشادات، يرجى دائماً الرجوع إلى مواصفات MCP ومستودع MCP الرسمي على GitHub وصفحة أفضل ممارسات الأمان.
كانت المواصفة الأصلية لـ MCP تفترض أن المطورين سيكتبون خادم المصادقة الخاص بهم. وهذا يتطلب معرفة بـ OAuth والقيود الأمنية المرتبطة به. كانت خوادم MCP تعمل كخوادم تفويض OAuth 2.0، تدير مصادقة المستخدم المطلوبة مباشرة بدلاً من تفويضها إلى خدمة خارجية مثل Microsoft Entra ID. اعتباراً من 26 أبريل 2025، يسمح تحديث مواصفة MCP لخوادم MCP بتفويض مصادقة المستخدم إلى خدمة خارجية.
- قد يؤدي منطق التفويض غير الصحيح في خادم MCP إلى كشف بيانات حساسة وتطبيق ضوابط وصول خاطئة.
- سرقة رموز OAuth على خادم MCP المحلي. إذا سُرقت، يمكن استخدام الرمز لانتحال شخصية خادم MCP والوصول إلى الموارد والبيانات التي يخدمها الرمز.
يُحظر صراحةً تمرير الرموز في مواصفة التفويض لأنه يسبب عدة مخاطر أمنية، منها:
قد ينفذ خادم MCP أو واجهات برمجة التطبيقات التابعة له ضوابط أمنية مهمة مثل تحديد المعدل، التحقق من الطلبات، أو مراقبة المرور، التي تعتمد على جمهور الرمز أو قيود الاعتماد الأخرى. إذا تمكن العملاء من الحصول على الرموز واستخدامها مباشرة مع واجهات برمجة التطبيقات دون تحقق صحيح من خادم MCP أو التأكد من أن الرموز صادرة للخدمة الصحيحة، فإنهم يتجاوزون هذه الضوابط.
لن يكون خادم MCP قادراً على تحديد أو التمييز بين عملاء MCP عندما يستدعي العملاء باستخدام رمز وصول صادر من مصدر أعلى قد يكون غير واضح لخادم MCP.
قد تظهر سجلات خادم الموارد التابع طلبات تبدو وكأنها من مصدر وهوية مختلفة، بدلاً من خادم MCP الذي يقوم فعلياً بتمرير الرموز.
كلا العاملين يصعبان التحقيق في الحوادث، الضوابط، والتدقيق.
إذا مرر خادم MCP الرموز دون التحقق من ادعاءاتها (مثل الأدوار، الامتيازات، أو الجمهور) أو بيانات وصفية أخرى، يمكن لمهاجم يمتلك رمزاً مسروقاً استخدام الخادم كوكيل لتسريب البيانات.
يمنح خادم الموارد التابع الثقة لكيانات محددة. قد تشمل هذه الثقة افتراضات حول الأصل أو سلوك العميل. كسر هذه الحدود قد يؤدي إلى مشاكل غير متوقعة.
إذا قُبل الرمز من قبل عدة خدمات دون تحقق صحيح، يمكن للمهاجم الذي يخترق خدمة واحدة استخدام الرمز للوصول إلى خدمات أخرى متصلة.
حتى إذا بدأ خادم MCP كـ "وكيل نقي" اليوم، فقد يحتاج لاحقاً إلى إضافة ضوابط أمان. البدء بفصل جمهور الرموز بشكل صحيح يجعل من الأسهل تطوير نموذج الأمان.
يجب ألا تقبل خوادم MCP أي رموز لم تصدر صراحةً لخادم MCP
- مراجعة وتقوية منطق التفويض: قم بتدقيق تنفيذ التفويض في خادم MCP بعناية لضمان أن المستخدمين والعملاء المقصودين فقط يمكنهم الوصول إلى الموارد الحساسة. للإرشادات العملية، راجع Azure API Management Your Auth Gateway For MCP Servers | Microsoft Community Hub و Using Microsoft Entra ID To Authenticate With MCP Servers Via Sessions - Den Delimarsky.
- فرض ممارسات آمنة للرموز: اتبع أفضل ممارسات مايكروسوفت للتحقق من الرموز وعمرها لمنع سوء استخدام رموز الوصول وتقليل خطر إعادة استخدام أو سرقة الرموز.
- حماية تخزين الرموز: قم دائماً بتخزين الرموز بشكل آمن واستخدم التشفير لحمايتها أثناء التخزين والنقل. لنصائح التنفيذ، راجع Use secure token storage and encrypt tokens.
قد تُمنح خوادم MCP أذونات مفرطة للخدمة أو المورد الذي تصل إليه. على سبيل المثال، يجب أن يكون لخادم MCP في تطبيق مبيعات ذكاء اصطناعي متصل بمخزن بيانات المؤسسة وصول مقيد ببيانات المبيعات فقط وليس الوصول إلى جميع الملفات في المخزن. وفقاً لمبدأ أقل الامتيازات (وهو من أقدم مبادئ الأمان)، لا ينبغي لأي مورد أن يمتلك أذونات تتجاوز ما هو مطلوب لأداء المهام المخصصة له. يمثل الذكاء الاصطناعي تحدياً متزايداً في هذا المجال لأنه لجعله مرناً، قد يكون من الصعب تحديد الأذونات الدقيقة المطلوبة.
- منح أذونات مفرطة يمكن أن يسمح بتسريب أو تعديل بيانات لم يكن من المفترض أن يصل إليها خادم MCP. وقد يشكل ذلك أيضاً مشكلة خصوصية إذا كانت البيانات معلومات شخصية تعريفية (PII).
- تطبيق مبدأ أقل الامتيازات: امنح خادم MCP الحد الأدنى فقط من الأذونات اللازمة لأداء مهامه المطلوبة. راجع هذه الأذونات بانتظام وقم بتحديثها لضمان عدم تجاوزها لما هو ضروري. للإرشادات التفصيلية، راجع Secure least-privileged access.
- استخدام التحكم في الوصول بناءً على الدور (RBAC): خصص أدواراً لخادم MCP تكون محددة بدقة للموارد والإجراءات المعينة، مع تجنب الأذونات الواسعة أو غير الضرورية.
- مراقبة وتدقيق الأذونات: راقب استخدام الأذونات باستمرار وراجع سجلات الوصول لاكتشاف وإصلاح الامتيازات المفرطة أو غير المستخدمة بسرعة.
يمكن لخوادم MCP الخبيثة أو المخترقة أن تقدم مخاطر كبيرة عبر كشف بيانات العملاء أو تمكين إجراءات غير مقصودة. هذه المخاطر ذات صلة خاصة بأعباء عمل الذكاء الاصطناعي وMCP، حيث:
- هجمات حقن الأوامر: يدمج المهاجمون تعليمات خبيثة في الأوامر أو المحتوى الخارجي، مما يجعل نظام الذكاء الاصطناعي ينفذ إجراءات غير مقصودة أو يكشف بيانات حساسة. للمزيد: Prompt Injection
- تسميم الأدوات: يقوم المهاجمون بالتلاعب ببيانات وصف الأدوات (مثل الأوصاف أو المعلمات) للتأثير على سلوك الذكاء الاصطناعي، مما قد يتجاوز ضوابط الأمان أو يسرّب البيانات. التفاصيل: Tool Poisoning
- حقن الأوامر عبر المجالات المتقاطعة: تُدمج تعليمات خبيثة في مستندات، صفحات ويب، أو رسائل بريد إلكتروني، ثم يعالجها الذكاء الاصطناعي، مما يؤدي إلى تسريب البيانات أو التلاعب بها.
- تعديل الأدوات الديناميكي (Rug Pulls): يمكن تغيير تعريفات الأدوات بعد موافقة المستخدم، مما يقدم سلوكيات خبيثة جديدة دون علم المستخدم.
تسلط هذه الثغرات الضوء على الحاجة إلى تحقق قوي، مراقبة، وضوابط أمنية عند دمج خوادم MCP والأدوات في بيئتك. لمزيد من التفاصيل، راجع المراجع المرتبطة أعلاه.
حقن الأوامر غير المباشر (المعروف أيضاً باسم حقن الأوامر عبر المجالات المتقاطعة أو XPIA) هو ثغرة حرجة في أنظمة الذكاء الاصطناعي التوليدية، بما في ذلك تلك التي تستخدم بروتوكول سياق النموذج (MCP). في هذا الهجوم، تُخفى التعليمات الخبيثة ضمن محتوى خارجي — مثل مستندات، صفحات ويب، أو رسائل بريد إلكتروني. عندما يعالج نظام الذكاء الاصطناعي هذا المحتوى، قد يفسر التعليمات المدمجة كأوامر شرعية من المستخدم، مما يؤدي إلى إجراءات غير مقصودة مثل تسريب البيانات، إنشاء محتوى ضار، أو التلاعب بتفاعلات المستخدم. لمزيد من الشرح والأمثلة الواقعية، راجع Prompt Injection.
شكل خطير بشكل خاص من هذا الهجوم هو تسميم الأدوات. هنا، يحقن المهاجمون تعليمات خبيثة في بيانات وصف أدوات MCP (مثل وصف الأداة أو المعلمات). وبما أن نماذج اللغة الكبيرة تعتمد على هذه البيانات لاتخاذ قرار بشأن الأدوات التي يجب استدعاؤها، يمكن للأوصاف المخترقة خداع النموذج لتنفيذ استدعاءات أدوات غير مصرح بها أو تجاوز ضوابط الأمان. غالباً ما تكون هذه التلاعبات غير مرئية للمستخدمين النهائيين لكنها يمكن تفسيرها والتنفيذ عليها بواسطة نظام الذكاء الاصطناعي. يزداد هذا الخطر في بيئات استضافة خوادم MCP، حيث يمكن تحديث تعريفات الأدوات بعد موافقة المستخدم — وهو سيناريو يُعرف أحياناً بـ "rug pull". في مثل هذه الحالات، قد يتم تعديل أداة كانت آمنة سابقاً لأداء أفعال خبيثة مثل تسريب البيانات أو تغيير سلوك النظام دون علم المستخدم. للمزيد عن هذا الناحية الهجومية، راجع Tool Poisoning.
الإجراءات غير المقصودة للذكاء الاصطناعي تمثل مجموعة متنوعة من المخاطر الأمنية التي تشمل تسريب البيانات وانتهاكات الخصوصية.
دروع أوامر الذكاء الاصطناعي هي حل طورته مايكروسوفت للدفاع ضد هجمات حقن الأوامر المباشرة وغير المباشرة. تساعد من خلال:
-
الكشف والتصفية: تستخدم دروع الأوامر خوارزميات تعلم آلي متقدمة ومعالجة اللغة الطبيعية لاكتشاف وتصفيه التعليمات الخبيثة المدمجة في المحتوى الخارجي مثل المستندات، صفحات الويب، أو الرسائل الإلكترونية.
-
التسليط الضوئي: تساعد هذه التقنية نظام الذكاء الاصطناعي على التمييز بين التعليمات النظامية الصحيحة والمدخلات الخارجية المشكوك فيها. من خلال تحويل نص الإدخال بطريقة تجعله أكثر صلة بالنموذج، يضمن التسليط الضوئي قدرة الذكاء الاصطناعي على التعرف بشكل أفضل على التعليمات الخبيثة وتجاهلها.
-
الفواصل والعلامات البياناتية: تضمين فواصل في رسالة النظام يحدد بوضوح موقع نص الإدخال، مما يساعد نظام الذكاء الاصطناعي على التعرف وفصل مدخلات المستخدم عن المحتوى الخارجي المحتمل أن يكون ضاراً. تمتد العلامات البياناتية هذا المفهوم باستخدام علامات خاصة لتسليط الضوء على حدود البيانات الموثوقة وغير الموثوقة.
-
المراقبة والتحديث المستمر: تراقب مايكروسوفت وتحدث دروع الأوامر باستمرار لمواجهة التهديدات الجديدة والمتطورة. هذا النهج الاستباقي يضمن بقاء الدفاعات فعالة ضد أحدث تقنيات الهجوم.
-
التكامل مع أمان محتوى أزور: تشكل دروع الأوامر جزءاً من مجموعة أمان محتوى أزور الأوسع للذكاء الاصطناعي، التي توفر أدوات إضافية للكشف عن محاولات كسر الحماية، المحتوى الضار، وغيرها من المخاطر الأمنية في تطبيقات الذكاء الاصطناعي.
يمكنك قراءة المزيد عن دروع أوامر الذكاء الاصطناعي في توثيق دروع الأوامر.
يظل أمان سلسلة التوريد أساسياً في عصر الذكاء الاصطناعي، لكن نطاق ما يشكل سلسلة التوريد الخاصة بك قد توسع. بالإضافة إلى حزم الكود التقليدية، يجب الآن التحقق بدقة ومراقبة جميع المكونات المتعلقة بالذكاء الاصطناعي، بما في ذلك النماذج الأساسية، خدمات التضمين، مزودي السياق، وواجهات برمجة التطبيقات الخارجية. يمكن لكل من هذه أن يقدم ثغرات أو مخاطر إذا لم تُدار بشكل صحيح.
ممارسات أمان سلسلة التوريد الرئيسية للذكاء الاصطناعي وMCP:
- التحقق من جميع المكونات قبل الدمج: يشمل ذلك ليس فقط المكتبات مفتوحة المصدر، بل أيضاً نماذج الذكاء الاصطناعي، مصادر البيانات، وواجهات برمجة التطبيقات الخارجية. تحقق دائماً من الأصل، الترخيص، والثغرات المعروفة.
- الحفاظ على خطوط نشر آمنة: استخدم خطوط CI/CD مؤتمتة مع فحص أمني مدمج لاكتشاف المشكلات مبكراً. تأكد من نشر القطع الموثوقة فقط في بيئة الإنتاج.
- المراقبة والتدقيق المستمر: نفذ مراقبة مستمرة لجميع التبعيات، بما في ذلك النماذج وخدمات البيانات، لاكتشاف الثغرات أو هجمات سلسلة التوريد الجديدة.
- تطبيق مبدأ أقل الامتيازات وضوابط الوصول: قيد الوصول إلى النماذ
- OWASP Top 10
- OWASP Top 10 for LLMs
- GitHub Advanced Security
- Azure DevOps
- Azure Repos
- The Journey to Secure the Software Supply Chain at Microsoft
- Secure Least-Privileged Access (Microsoft)
- Best Practices for Token Validation and Lifetime
- Use Secure Token Storage and Encrypt Tokens (YouTube)
- Azure API Management as Auth Gateway for MCP
- MCP Security Best Practice
- Using Microsoft Entra ID to Authenticate with MCP Servers
التالي: الفصل 3: البدء
إخلاء المسؤولية:
تمت ترجمة هذا المستند باستخدام خدمة الترجمة الآلية Co-op Translator. بينما نسعى جاهدين لتحقيق الدقة، يرجى العلم أن الترجمات الآلية قد تحتوي على أخطاء أو عدم دقة. يجب اعتبار المستند الأصلي بلغته الأصلية المصدر الرسمي والموثوق. للمعلومات الهامة، يُنصح بالاعتماد على الترجمة الاحترافية البشرية. نحن غير مسؤولين عن أي سوء فهم أو تفسير ناتج عن استخدام هذه الترجمة.