أمان MCP: 30 ثغرة في 60 يوماً — هل وكلاء الذكاء الاصطناعي لديك مكشوفون؟

أصبح بروتوكول سياق النموذج (MCP) المعيار الفعلي لربط وكلاء الذكاء الاصطناعي بالأدوات الخارجية — قواعد البيانات وواجهات API وأنظمة الملفات والخدمات السحابية. لكن هذا الاعتماد السريع له ثمن: 30 ثغرة CVE موثقة في أقل من 60 يوماً، بما في ذلك عدة ثغرات حرجة بدرجات CVSS تتجاوز 9.0.

إذا كنت تستخدم وكلاء الذكاء الاصطناعي في مؤسستك، فمن المرجح أن خوادم MCP هي الحلقة الأضعف في منظومتك الأمنية.

منظومة تحت الضغط

الأرقام تتحدث عن نفسها:

• 30 ثغرة CVE منشورة في منظومة MCP منذ يناير 2026
• 36% من خوادم MCP تعمل بدون أي آلية مصادقة
• 43% من الخوادم المحللة معرضة لحقن الأوامر
• 36.7% معرضة لهجمات SSRF (تزوير طلبات جانب الخادم)

وتيرة التسارع مذهلة. في عام 2025، تم الإبلاغ عن حوالي 15 ثغرة CVE على مدار العام بأكمله. في 2026، تضاعف هذا الرقم في ربع سنة واحد.

طبقات الهجوم الثلاث

حدد الباحثون ثلاث طبقات متميزة من الثغرات في بنية MCP:

الطبقة الأولى: الخادم

هذه هي سطح الهجوم الأكثر مباشرة. تكشف خوادم MCP نقاط نهاية HTTP تقبل طلبات JSON-RPC. بدون مصادقة، يمكن لأي عميل الاتصال واستدعاء الأدوات.

CVE-2026-27825 (CVSS 9.1) توضح المشكلة بشكل مثالي: سمح خادم mcp-atlassian بكتابة ملفات عشوائية عبر تنزيل مرفقات Confluence، مما أدى إلى تنفيذ التعليمات البرمجية عن بُعد (RCE). كان نقل HTTP يستمع افتراضياً على 0.0.0.0 — بدون أي مصادقة.

CVE-2026-26118، التي أصلحتها Microsoft في 10 مارس 2026، كشفت عن ثغرة SSRF حرجة في أدوات Azure MCP Server تتيح سرقة الرموز المميزة وتصعيد الامتيازات.

الطبقة الثانية: مجموعة التطوير (SDK)

الأخطاء على مستوى SDK أكثر دقة لكنها بنفس الخطورة. CVE-2026-27896 أظهرت أن تحليل JSON غير الحساس لحالة الأحرف في SDK الخاص بـ Go سمح بتجاوز عمليات التحقق الأمنية باستخدام أسماء حقول مختلطة ("Method" بدلاً من "method").

الطبقة الثالثة: المضيف

يصبح وكيل الذكاء الاصطناعي نفسه ناقلاً للهجوم عندما يمتلك صلاحيات واسعة جداً. يمكن للمهاجم استغلال حقن الأوامر لتشغيل استدعاءات أدوات غير مصرح بها أو تسريب البيانات أو تعديل الإعدادات.

حقن الأوامر مقابل تسميم الأدوات

تقنيتان هجوميتان تسيطران على مشهد MCP في 2026:

حقن الأوامر (Prompt Injection) يستهدف نموذج الذكاء الاصطناعي مباشرة. يتم تضمين أوامر خبيثة في مدخلات المستخدم لاختطاف سلوك الوكيل. يمكن للمهاجم إجبار الوكيل على استدعاء أداة بمعاملات خطيرة — مثل تنفيذ استعلام SQL مدمر عبر خادم MCP لقاعدة البيانات.

تسميم الأدوات (Tool Poisoning) أكثر خبثاً. يعدل المهاجم وصف أو سلوك أداة في سجل MCP. وكيل الذكاء الاصطناعي، الذي يعتمد على هذه الأوصاف لتحديد الأداة المناسبة، يستدعي بعدها أداة مخترقة دون وعي المستخدم.

الفرق الجوهري: حقن الأوامر يؤثر على جلسة فردية، بينما تسميم الأدوات يخترق البنية التحتية لجميع المستخدمين.

العواقب الملموسة

يمكن لخادم MCP مخترق أن:

• يعيد توجيه المعاملات إلى عناوين يتحكم بها المهاجم
• يتلاعب بالبيانات التي يستخدمها الوكيل لاتخاذ القرارات
• يسرب المفاتيح الخاصة وبيانات الاعتماد المخزنة في الأنظمة المتصلة
• ينفذ استدعاءات غير مصرح بها لواجهات API أو العقود الذكية
• يوزع البرمجيات الخبيثة عبر استجابات الأدوات

بالنسبة للمؤسسات في منطقة الشرق الأوسط وشمال أفريقيا التي تتبنى وكلاء الذكاء الاصطناعي بشكل مكثف، هذه المخاطر ليست نظرية — بل يتم استغلالها بنشاط.

دليل التأمين في 7 خطوات

1. صادق على كل اتصال

لا تكشف أبداً خادم MCP بدون مصادقة. نفذ كحد أدنى:

• رموز API لكل عميل مع تدوير منتظم
• mTLS (TLS متبادل) للنشر الحرج
• التحقق من الهوية بين مضيف MCP والعميل والخادم

// مثال: وسيط مصادقة MCP
const authMiddleware = (req, res, next) => {
  const token = req.headers['authorization']?.replace('Bearer ', '');
  if (!token || !verifyMCPToken(token)) {
    return res.status(401).json({
      error: 'Unauthorized MCP client'
    });
  }
  next();
};

2. طبق مبدأ الحد الأدنى من الصلاحيات

كل أداة MCP يجب أن تصل فقط إلى الموارد الضرورية بشكل صارم. احظر الأنماط الـ 29 لعمليات الكتابة الحساسة:

• create_*، delete_*، transfer_*، refund_*
• عمليات تعديل الإعدادات
• الوصول لأنظمة الملفات بصلاحية الكتابة

3. تحقق من جميع المدخلات

نفذ قوائم بيضاء وتحقق صارم من المخططات على كل استدعاء أداة:

• ارفض أي شيء لا يتطابق مع التنسيق المتوقع
• أزل HTML والرموز الخاصة وأحرف التحكم من مخرجات الأدوات
• استخدم مخططات JSON صارمة لكل معامل أداة

4. حدد معدل الطلبات

اضبط تحديد المعدل لكل أداة لمنع تسريب البيانات:

• حدد عدد الاستدعاءات في الدقيقة لكل أداة
• ضع حداً أقصى لحجم البيانات المعادة لكل طلب
• أنذر عند وجود أنماط استخدام غير طبيعية

5. أمّن سلسلة التوريد

خوادم MCP من طرف ثالث هي تبعيات كأي تبعية أخرى:

• ثبت الإصدارات لجميع خوادم وSDKs الخاصة بـ MCP
• افحص الكود والتبعيات قبل النشر
• وقع رقمياً على الأدوات وتحقق من التوقيعات عند التحميل
• دقق في التغييرات قبل كل تحديث

6. انشر مراقبة نشطة

استخدم أدوات متخصصة مثل MCPTox أو MindGuard للكشف في الوقت الفعلي:

• سجل كل استدعاء أداة مع معاملاته ونتائجه
• اكشف محاولات حقن الأوامر في الطلبات
• راقب السلوكيات غير الطبيعية للوكلاء (استدعاءات غير معتادة، أحجام بيانات مفرطة)

7. حافظ على الإشراف البشري

للعمليات الحساسة، اطلب تحققاً يدوياً:

• المعاملات المالية فوق حد معين
• تعديلات إعدادات النظام
• الوصول إلى البيانات الشخصية أو السرية

الأدوات والموارد

عدة أُطر عمل تساعدك في تأمين نشر MCP:

• OWASP يوفر دليلاً عملياً لتطوير خوادم MCP الآمنة
• تحالف أمان السحابة نشر دليلاً شاملاً "Secure Autonomy" لتقوية خوادم MCP
• McpFirewall يقدم جدار حماية مفتوح المصدر مع 277 اختباراً معتمداً، قادر على حظر عمليات الكتابة وإخفاء البيانات الحساسة
• مشروع CoSAI (التحالف من أجل ذكاء اصطناعي آمن) يحتفظ بوثائق مرجعية حول أمان MCP

قائمة التحقق الأمني لـ MCP

قبل وضع خادم MCP في الإنتاج، تحقق من هذه النقاط:

• مصادقة إلزامية على جميع نقاط النهاية
• صلاحيات محدودة بالضرورة القصوى لكل أداة
• تحقق من المخططات على جميع المدخلات
• تحديد المعدل مضبوط ومختبر
• إصدارات SDKs والخوادم مثبتة ومحدثة
• تسجيل كامل لاستدعاءات الأدوات
• إجراء الاستجابة للحوادث موثق
• اختبارات اختراق منجزة على بنية MCP التحتية

الخلاصة

بروتوكول MCP هو تقدم كبير في قابلية التشغيل البيني لوكلاء الذكاء الاصطناعي. لكن كأي واجهة بين الأنظمة، فإنه يخلق حدود ثقة جديدة يجب تأمينها بنفس الصرامة التي تؤمن بها واجهات API وقواعد البيانات.

مع 30 ثغرة في 60 يوماً ووتيرة متسارعة، الانتظار ليس خياراً. تعامل مع خوادم MCP كـبنية تحتية ذات امتيازات — لأن هذا بالضبط ما هي عليه.

المؤسسات التي تدمج الأمان في التصميم لنشر وكلاء الذكاء الاصطناعي ستكون تلك التي تستفيد بالكامل من هذه التقنية — دون أن تتحمل عواقبها.