تهدید جدید در سیستم‌های هوش مصنوعی چندعاملی: «قاچاق نشست عامل» (Agent Session Smuggling) می‌تواند کنترل عوامل AI قربانی را به دست بگیرد

محققان امنیتی از کشف یک تکنیک حمله پیچیده به نام "Agent Session Smuggling" خبر دادند که از روابط اعتمادی در سیستم‌های ارتباطی عوامل هوش مصنوعی (AI Agents) سوءاستفاده می‌کند. این حمله به یک عامل هوش مصنوعی مخرب اجازه می‌دهد تا دستورات پنهانی را به نشست‌های ارتباطی فعال بین عوامل تزریق کند و به طور موثر کنترل عوامل قربانی را بدون آگاهی یا رضایت کاربر به دست بگیرد.

---

سازوکار حمله: Agent Session Smuggling

این تهدید معماری‌های هوش مصنوعی چندعاملی که از پروتکل‌های ارتباطی Agent2Agent (A2A) استفاده می‌کنند را هدف قرار می‌دهد. نقطه ضعف کلیدی، ماهیت "حالت‌دار" (Stateful) پروتکل A2A است که به عوامل اجازه می‌دهد در طول تعاملات متعدد، زمینه (Context) مکالمات قبلی را به خاطر بسپارند.

• هدف آسیب‌پذیر: پروتکل A2A که برای تسهیل همکاری بین عوامل AI از فروشندگان مختلف طراحی شده و به طور پیش‌فرض به عوامل همکار اعتماد می‌کند.

• روش حمله: مهاجم (یک عامل هوش مصنوعی مخرب) یک نشست ارتباطی با عامل مشتری (Client Agent) برقرار می‌کند. سپس، در طول چندین دور تعامل (Multi-turn Interaction)، دستورات مخرب و تطبیق‌پذیر خود را به صورت پنهان تزریق می‌کند.

• نامرئی بودن: این تعاملات پنهانی برای کاربر نهایی کاملاً نامرئی است، زیرا کاربر تنها پاسخ نهایی و یکپارچه را از عامل مشتری دریافت می‌کند، که شناسایی حمله را در محیط‌های عملیاتی فوق‌العاده دشوار می‌کند.

سناریوهای حمله در دنیای واقعی (اثبات مفهوم)

محققان با استفاده از یک عامل دستیار مالی (به عنوان قربانی) و یک عامل تحقیقاتی (به عنوان مهاجم)، دو سناریوی خطرناک را نشان دادند:

1. نشت اطلاعات حساس: عامل مخرب با پرسیدن سؤالات به ظاهر بی‌ضرر، به تدریج عامل مالی را فریب می‌دهد تا تنظیمات داخلی سیستم، سوابق چت‌های قبلی و حتی طرحواره ابزارهای خود را فاش کند.

2. اجرای عملیات غیرمجاز: عامل تحقیقاتی با تزریق دستورات پنهانی بین درخواست‌های قانونی، عامل مالی را وادار به انجام عملیات پرخطر مانند خرید غیرمجاز سهام یا دستکاری در دارایی‌های کاربر، بدون تأیید صریح او، می‌کند.

راهکارهای دفاعی و توصیه‌های امنیتی

از آنجایی که Agent Session Smuggling یک تهدید واقعی و در حال ظهور در اکوسیستم‌های AI چندعاملی است، سازمان‌ها باید تدابیر امنیتی لایه‌ای را اتخاذ کنند:

• تأیید برون‌باندی (Out-of-Band Confirmation): حیاتی‌ترین دفاع، اجباری کردن تأیید انسانی (Human-in-the-Loop) برای اقدامات حساس است. هنگامی که عاملی دستوراتی با تأثیر بالا دریافت می‌کند، اجرا باید متوقف شده و از طریق یک رابط استاتیک جداگانه (که عامل AI نمی‌تواند آن را دستکاری کند) تأییدیه کاربر را درخواست کند.

• اعتبارسنجی زمینه (Context-Grounding): پیاده‌سازی مکانیزم‌هایی برای اطمینان از اینکه دستورات عامل راه دور از نظر معنایی با هدف اصلی درخواست کاربر همسو هستند. هرگونه انحراف قابل توجه باید منجر به قطع خودکار نشست شود.

• اعتبارسنجی رمزنگاری هویت: استفاده از «کارت‌های عامل امضاشده» (Signed AgentCards) برای اعتبارسنجی رمزنگاری شده هویت و قابلیت‌های عامل، قبل از برقراری نشست، تا یک پایه اعتماد قابل تأیید ایجاد گردد.

• شفاف‌سازی فعالیت: نمایش مستقیم و بی‌درنگ فعالیت‌های عامل مشتری به کاربران نهایی (مانند داشبورد فعالیت یا لاگ اجرای ابزار) برای آشکارسازی هرگونه تعامل نامرئی که ممکن است مشکوک باشد.