كشف باحثون في مجال أمن الذكاء الاصطناعي عن نمط جديد وخطير من الهجمات التي تستهدف الروبوتات الذكية والأنظمة المعتمدة على الرؤية الحاسوبية وهو نمط يثير قلقا متزايدا بسبب بساطته وصعوبة اكتشافه. يعتمد هذا النوع من الهجمات على ما يسمى بحقن الأوامر عبر البيئة الفيزيائية حيث يتم التأثير على سلوك الروبوت دون الحاجة إلى اختراق أنظمته البرمجية أو العبث بمكوناته التقنية الداخلية. ويكمن جوهر الفكرة في استغلال الطريقة التي يفهم بها الذكاء الاصطناعي العالم المحيط به وتحويل هذا الفهم إلى نقطة ضعف.
في هذا السيناريو لا يحتاج المهاجم إلى مهارات قرصنة تقليدية أو وصول مباشر إلى النظام بل يكتفي بوضع نص معين في محيط الروبوت مثل لافتة أو ملصق أو حتى ورقة مكتوبة بخط واضح. يلتقط الروبوت هذا النص من خلال الكاميرا المدمجة لديه ويقوم نموذج الذكاء الاصطناعي بتحليل المحتوى باعتباره معلومات أو تعليمات صالحة للتنفيذ. وعلى الرغم من أن الإنسان قد يمر بجانب هذا النص دون أن يلاحظه أو يدرك أهميته فإن النظام الذكي قد يفسره على أنه أمر مباشر يؤثر في قراراته وسلوكه.
تكمن خطورة هذا الأسلوب في أنه يتعامل مع العالم الحقيقي بوصفه واجهة إدخال مفتوحة للأوامر. فبدلا من الاعتماد على القنوات الرقمية المعروفة مثل الشبكات أو البرمجيات الخبيثة يتم استخدام عناصر مادية عادية لا تثير الشك. هذا التحول في مفهوم الهجوم الأمني يجعل من الصعب اكتشاف التهديد أو منعه باستخدام الأدوات التقليدية للحماية. كما أنه يفتح الباب أمام سيناريوهات متعددة يمكن أن تتعرض فيها الروبوتات في الأماكن العامة أو الصناعية أو الطبية إلى توجيه خاطئ قد يؤدي إلى أخطاء جسيمة.
يشير الباحثون إلى أن هذه المشكلة ترتبط بشكل مباشر بآلية تدريب نماذج الذكاء الاصطناعي والتي تعتمد على تحليل النصوص وفهم السياق دون امتلاك وعي حقيقي أو قدرة على التمييز بين التعليمات المصرح بها والمحتوى العابر. فعندما يرى النموذج نصا واضحا فإنه يتعامل معه كبيانات ذات معنى وقد يتخذ بناء عليها قرارا غير متوقع. هذا القصور لا يعني فشل التقنية بقدر ما يعكس الحاجة إلى تطوير طبقات أمان إضافية قادرة على تقييم مصدر الأوامر وطبيعتها.
في ضوء هذه الاكتشافات يؤكد المختصون على أهمية إعادة التفكير في تصميم الأنظمة الذكية التي تعمل في بيئات مفتوحة. ويشددون على ضرورة دمج آليات تحقق وسياق أعمق تمنع تفسير أي نص مرئي على أنه أمر مباشر. كما يدعون إلى رفع مستوى الوعي بهذه المخاطر لدى المطورين وصناع القرار لأن مستقبل الاعتماد على الروبوتات يتطلب فهما دقيقا للتفاعل بين الذكاء الاصطناعي والعالم الفيزيائي المحيط به.
وبحسب الدراسة، أظهر الهجوم قدرة عالية على التأثير في أنظمة القيادة الذاتية داخل بيئات محاكاة، كما نجح في التدخل في سيناريوهات هبوط اضطراري لطائرات مسيّرة، ما يشير إلى قابلية الأسلوب للتطبيق عبر مهام مستقلة مختلفة.
أما في التجارب الواقعية باستخدام سيارة روبوتية صغيرة، فقد تبيّن أن اللافتات المطبوعة قادرة على تعطيل نظام الملاحة بشكل ملحوظ، حتى مع تغيّر ظروف الإضاءة واختلاف زوايا الرؤية، ما يعكس مرونة الهجوم في بيئات غير مضبوطة.
عندما تتحول اللافتة إلى أمر
تعتمد الطريقة، التي تحمل اسم CHAI، على استهداف طبقة التخطيط داخل نظام الروبوت، وهي المرحلة التي تُنتَج فيها تعليمات وسيطة اعتمادًا على نموذج الرؤية واللغة قبل تحويلها إلى حركة فعلية.
وعند التأثير على هذه المرحلة، يُكمِل النظام باقي سلسلة الاستقلالية بتنفيذ أوامر غير صحيحة بثقة كاملة، دون ظهور مؤشرات اختراق تقليدية أو تنبيهات أمنية واضحة.
واللافت أن نموذج التهديد هنا منخفض التقنية، إذ لا يحتاج المهاجم إلى أي وصول داخلي للنظام، بل يكتفي بالقدرة على وضع نص مرئي ضمن مجال رؤية الكاميرا.
هجوم قابل للانتقال والتكرار
لا يقتصر CHAI على صياغة المحتوى النصي فحسب، بل يشمل أيضًا ضبط طريقة ظهوره، مثل اللون والحجم والموقع، حيث تلعب قابلية القراءة بالنسبة للنموذج دورًا حاسمًا في فاعلية الهجوم.
وتوضح الدراسة أن الهجوم قادر على التعميم عبر مشاهد وسياقات مختلفة، باستخدام أوامر عامة يمكن أن تؤثر في صور غير مألوفة وعلى نماذج ومهام متعددة، مع تفاوت في مستوى التأثير حسب الإعدادات المستخدمة.
كما يتميز الهجوم بدعمه لعدة لغات، من بينها الصينية والإسبانية، إضافة إلى نصوص هجينة، ما يجعل الرسائل المزروعة أقل لفتًا لانتباه البشر وأكثر اندماجًا في البيئة المحيطة.
معايير السلامة تحت المراجعة
في المقابل، يقترح الباحثون ثلاثة مسارات دفاعية رئيسية. الأول هو الرصد والتصفية للكشف عن النصوص المشبوهة سواء داخل الصور أو في المخرجات الوسيطة للنماذج. الثاني تحسين المحاذاة لتقليل ميل النماذج إلى تفسير الكتابات البيئية على أنها أوامر تنفيذية. أما المسار الثالث فيتمثل في تعزيز المتانة طويلة الأمد من خلال أبحاث تركز على ضمان سلوك أكثر أمانًا في البيئات المفتوحة.
ويشير الباحثون إلى خطوة عملية مباشرة، تتمثل في التعامل مع أي نص يلتقطه الروبوت على أنه مدخل غير موثوق، لا يُسمح له بالتأثير على التخطيط الحركي إلا بعد اجتياز اختبارات مرتبطة بالمهمة والسلامة.
