ما هو حقن الأوامر في نماذج اللّغة؟ دليل قبل فتح الأدوات.
محلّل في قسم الموارد البشرية يلصق لائحة سياسات في حقول «سؤال المساعد». في المساء يرفعها ضابط تقنية: رسالة عميل خارجي أعادت ترتيب الأولويات وطلبت نسخة من عقد بند الأجازات. هذا ليس سخرية من الموظّفين — هذا نمط ظهر في نقاشات OWASP وأدلة الشركات المصنعة نفسها [١][٢].
حقن الأوامر لا يقرأ رسالتين منفصلتين: «تعليمات النظام» و«محتوى المستخدم». يمزج النموذج النص الذي يصدّره مع ما يستهلك لاحقاً، فيصبح المتن قناة تلاعب وليس حواراً مهذباً بين صندوقَي إدخال [١][٣]. للطبقات التنفيذية راجعوا طبقات الدفاع في المؤسسة وحدود MCP في مقالة MCP ومجلّة نقطة.
تعريف عملي واحد قبل الدخول إلى الأدوات.
التعريف الذي نعتمدوه في نقطة: أي نص خارجي أو داخلي إذا حقن تعليمات تغيّر سلوك أداة مرتبطة بالنموذج دون قرار أمين، فالمسار حقن أمر بغضّ النظر عمّن كتب الجملة [١].
الفرق عن «كسر المحتوى» التقليدي: أنت لم تفسد تصميماً بصرياً — أنت أعدت صياغة مهمة أوتوماتيكياً بحيث يعتقد النظام أن المستخدم المخوَّل وفّر التعليمة [٢].
لماذا يشتدّ الخطر ما إن ظهر الوكيل أمام الـERP.
حين لا يكون هناك فصل بين «ما يقرأه النموذج» و«ما يمكن للأدوات أن تفعّله» يصبح المتصف الرقمي مهاجماً واحداً بتوقيعكم [٢][٥]. هذا يتلاقى مع تسميم مجموعة مستندات RAG حيث يُغرَس خطأ قبل التوليد؛ راجع تسميم المجسّم.
النموذج ذكي في صياغة الجمل؛ الأداة وحش في تنفيذ الأفعال. حقن أوامر ليس نقاشاً أكاديمياً بل يفعّل تذاكر وحسابات.
مخطط قرار قبل التفعيل إلى الإنتاج.
اسألوا هذه الأسئلة عند كل نشر نموذج جديد هذا الربع:
جسر إلى التنفيذ: من التعريف إلى السياسات.
أضيفوا هذا المقال كشرح للإدارات غير الهندسية، ثم أحيلوا الهندسة إلى دليل الطبقات في طبقات الدفاع للمؤسسة. كذلك تأكدوا أن حاشية حوكمة الظل موجودة حيث يشرّع الموظّف منتج SaaS شخصياً حوكمة الظل.
لمشروعكم العُماني، اقرأوا أثر PDPL قبل أن تبرّروا مخاطرة بعبارة «سياسة شركة عالمية» فقط؛ العقد وحده لا يقيّ المسؤولية التشغيلية [٤][٦].
أسئلة شائعة.
- هل التصفية المعجمية تقي؟ جزئياً — المهاجم يجد ترادفاً، والنموذج يفهم المقصد [٢].
- هل هذا يمسّ فقط الشركات الأمريكية؟ لا؛ أي شبكة لا تفرّق الصلاحيات قابلة؛ راجع المراجع الموثوقة عندكم [٢][٣].
- ما دور RAG؟ يضيف سطح مستند يمكن أن يكون مسموماً قبل التوليد راجع مقالة التسميم.
- هل MCP يحمي؟ يوحد واجهة الأدوات — لا يمس كيفية الموافقة قانونياً قبل التنفيذ مقالة MCP.
- خطوتي هذا الأسبوع؟ اختبار إعادة خطاب على بيئة staging مع نفس الأدواء الحسيّين كما لو أنه مهاجم [٥][٧].
المصادر.
[١] OWASP — Top 10 for Large Language Model Applications.
[٢] Microsoft — Prompt injection mitigation guidance for Azure OpenAI workloads.
[٣] NIST — AI Risk Management Framework.
[٤] سلطنة عُمان — قانون حماية البيانات الشخصية رقم ٦ / ٢٠٢٢؛ يُدار التعامل وفق الوثائق الرسمية.
[٥] Anthropic — safety documentation on misuse and safeguards (research context).
[٦] EU ENISA — AI cybersecurity considerations (public summaries).
[٧] نقطة — جلسات red-team مختلطة عربية/إنجليزية قبل إطلاع العملاء، مايو ٢٠٢٦.
مقالات ذات صلة
- حقن الأوامر في نماذج اللغة بالمؤسسة: طبقات دفاع لا تعتمد على حظر الكلمات.
قائمة كلمات لا توقف مهاجماً يخبئ تعليمات داخل نص بريء — الدفاع يفصل الصلاحيات ويُقيّم الاسترجاع ويُسجّل التلاعب كما تُسجَّل محاولات الاختراق.
- حقن التوجيه وتسميم مجموعة المستندات — ثغرة RAG التي يلطّفها العرض.
مستند يبدو عادياً يخفي تعليمات تخرج النموذج عن السياسة، أو تسرّب محتوى من فهرس آخر. هذا ليس خيالاً؛ هو نموذج هجوم واقعيّ يتطلب دفاعاً تشغيلياً لا شعاراً تسويقياً.
- بروتوكول MCP في المؤسسة: الجسر ليس حدود البيانات.
Model Context Protocol يفسّر كيف تربط أدواتك بنموذج لغوي — لكنه لا يستبدل قرار أين تُعالَج البيانات، ومن يملك السجل، وما إذا كان الاستدلال يغادر شبكتك.
- ظلّ الذكاء الاصطناعي — حوكمة الاستخدام غير المعتمد في المؤسسة.
هذا ليس خطاباً ضدّ الموظفين. هو وصف لما يحدث حين يصبح مساعد المستهلك الطريقة الافتراضية للعمل — دون سجلّ معالجة، ودون بديل معتمد، ودون نقطة تفتيش واحدة تربط تقنية المعلومات بالامتثال.
- ما هو RAG — ولماذا بوت شركتك لا يفهم سياق عملك.
دليل عملي لـ Retrieval-Augmented Generation: كيف يقرأ البوت مستنداتك قبل أن يجيب، ولماذا هو أرخص من Fine-tuning بعشر مرات.