كيف يُمنع النموذج من تسريب الأسرار عبر الاستجابات؟

لا يرى المُشغِّل قيم الأسرار، فلا يستطيع تسريبها عبر الاستجابة. تمرّ المُخرجات أيضاً بمرحلة تنقيحٍ خارجة قبل أن تغادر حاوية المُشغِّل، طبقةَ دفاعٍ في العمق ضدّ الحالة النادرة حين تصل قيمة سرٍّ إلى المحادثة عبر استجابة أداةٍ مُهيَّأة خطأً.

هل يستطيع العميل إلغاء وصول المُشغِّل دون AIMOCS في الحلقة؟

نعم. تعيش الاعتمادات في خزنة العميل؛ الإلغاء هناك يرفض المُشغِّل فوراً عند البوّابة. تُخطر AIMOCS عبر القناة نفسها لكنّها لا تحتاج إلى التصرّف ليسري الإلغاء.

كيف يعمل هذا مع SIEM الحالي عندنا؟

يُبثّ سجلّ التدقيق في الوقت الحقيقي إلى SIEM العميل (Splunk أو Datadog أو ما يُعادل) كمصرفٍ موازٍ. يستطيع الأمن البحث في نشاط الوكيل إلى جانب التزامات البشر وأحداث المنصّة باستخدام أدواتهم القائمة.

هل سلسلة التجزئة قابلة للتحقّق خارجياً؟

نعم. جذر التجزئة مُربَّطٌ دورياً بخدمة طوابع زمنيّة خارجيّة فيمكن التحقّق من السلسلة دون الثقة ببنية AIMOCS التحتيّة. أداة التحقّق مفتوحة المصدر.

كم تستغرق مراجعة أمن عميلٍ عادةً؟

مع الحزمة القياسيّة، أسبوعان إلى ثلاثة لـ SOC 2 وأربعة إلى ستّة أسابيع لـ GDPR DPIA في تجربتنا. دون الحزمة — حين يجب على العميل إعادة بناء المراجعة من الصفر — عادةً شهران إلى ثلاثة.

AIMOCS · الأوراق البيضاء

ورقة بيضاء

الأمن والتدقيق لمشغّلات الذكاء الاصطناعي في الإنتاج

نموذج الأمن الذي تستخدمه AIMOCS للمُشغِّلات التي تلمس المال أو بيانات العملاء أو أنظمة الإنتاج — وأثر التدقيق الذي يجعل النموذج قابلاً للتحقّق.

تحديث · 2026-05-21

14 دقيقة قراءة

كلُّ اعتماد أداةٍ محدودٌ لسير عمل، لا لمستأجِر

0نطاقات واسعة

من إجراءات المُشغِّل مُسجَّلة مع المنطق ومعرّف الطلب

100%

هدف رصد الاستجابة لإجراءٍ خارج الحدّ

<5دقيقة

01الخلاصة

باختصار

مُشغِّل ذكاءٍ اصطناعيٍّ إنتاجيٌّ قطعةٌ من البرنامج تتّخذ إجراءاتٍ ذات تبعاتٍ نيابةً عن العميل. نموذج الأمن والتدقيق حوله هو ما يجعله جديراً بالثقة كفايةً للنشر مقابل مالٍ حقيقيٍّ وبيانات عملاء حقيقيّةٍ وأنظمة إنتاجٍ حقيقيّة. تضع هذه الورقة النموذج الذي تستخدمه AIMOCS عبر النشرات: حدّ الصلاحيّة الموقَّع المفروض في بوّابة الأدوات؛ الحاوية المعزولة حدّاً لنطاق الضرر؛ السجلّ الإلحاقي الثابت للإجراء مع المنطق؛ مسار الأسرار الذي لا يدع المُشغِّل يرى قيمة اعتماد؛ تجميد إصدار النموذج مع تقييم التراجع؛ ودليل استجابة الحوادث للحالة النادرة حين يفعل المُشغِّل ما كان النظام مفترضاً منعه. تُغلق الورقة بحزمة مراجعة الأمن التي تُسلِّمها AIMOCS لمُدقِّق SOC 2 العميل أو مراجع GDPR DPIA أو فريق الأمن الداخلي.

02ما نُدافع عنه

نموذج التهديد

مُشغِّلٌ إنتاجي مكشوفٌ لتهديداتٍ لا تكون فيها سكربت أتمتةٍ داخلية. خمس فئاتٍ تهمّ، ونموذج الأمن مُصمَّم ضدّ كلٍّ منها:

01حقن الموجِّه: مُدخل عميلٍ يحوي تعليماتٍ يعاملها النموذج بوصفها موثوقة. الدفاع أنَّ النموذج ليس محيط الأمن — بل بوّابة الأدوات.
02إساءة استخدام الأدوات: يستدعي المُشغِّل أداةً بمعاملاتٍ تُنتج أثراً غير مقصود. الدفاع أنَّ للأدوات اعتمادات محدودة وتحقّق معاملاتٍ عند البوّابة، لا في الموجِّه فقط.
03انحراف النموذج: إصدارٌ جديد يُغيِّر سلوك المُشغِّل بصمت. الدفاع انضباط الإصدار المُجمَّد + مجموعة التراجع.
04تسريب الأسرار: يُقنع المُشغِّل أو مهاجم المُشغِّل بكشف قيمة سرّ. الدفاع أنَّ المُشغِّل لا يرى أبداً قيم الأسرار — فقط متغيّرات بيئة تُحقَن عند بدء الحاوية، مع سجلّ التدقيق يُسجِّل الطلب لا القيمة.
05العبث بأثر التدقيق: من له وصولٌ إلى المُشغِّل يحاول تعديل سجلِّ الإجراء بأثرٍ رجعي. الدفاع تخزينٌ إلحاقي بفحوصات سلامةٍ تشفيريّة واحتفاظ خارجي.

03نموذج التفويض

حدّ الصلاحيّة الموقَّع

يعمل كلُّ مُشغِّل بمواصفةٍ موقَّعةٍ مُؤرَّخة للإجراءات التي يُسمح له باتخاذها دون اعتمادٍ بشري. تُسمّي المواصفة الأدوات وحدود المعاملات ودرجة العميل الذي يُسمح بالإجراء التلقائي له. تُفرض في بوّابة الأدوات: استدعاءٌ خارج الحدّ يُرفض ويُوجَّه إلى التصعيد، لا يُمرَّر بصمت. الحدّ يعيش في المستودع نفسه مع المُشغِّل ويتغيّر عبر مراجعة الشيفرة مع صاحب سير العمل.

هذا أهمّ ضبطٍ أمني لأنّه الذي يفشل مغلقاً. إن كُسر النموذج، إن نجح حقن موجِّهٍ جديد، إن أُسيء استخدام أداة — تبقى البوّابة ترفض الاستدعاء. النموذج قد يكون مخطئاً؛ البوّابة لا تكون.

04نطاق الضرر

عزل الحاوية

يعمل كلُّ مُشغِّل في بيئته المُحاطة لكلِّ سير عمل. تحمل الحاوية سلسلة الأدوات التي يحتاجها سير العمل وذاكرة المُشغِّل للتشغيلة الحاليّة ولا شيء آخر. نظام ملفّات المضيف غير مركّب. شبكة المضيف مُقيَّدة بجدار حماية على نقاط الخروج المحدّدة التي تحتاجها أدوات المُشغِّل. أمرٌ خاطئ يكسر الحاوية؛ لا يصل المضيف ولا مُشغِّلاً آخر ولا الإنتاج.

الحاوية أيضاً وحدة عزل الموارد. مُشغِّلٌ جامح يحرق ميزانية حاويته، يضرب حدّ معدّله، ويُقتل باستقلاليّة. لا يستطيع التسبّب في فشلٍ متعاقبٍ عبر الأسطول.

05المحاسبة

سجلّ التدقيق الثابت

كلُّ إجراءٍ يتّخذه المُشغِّل يهبط في مجموعة MongoDB إلحاقيّة كسجلٍّ يحوي: معرّف الطلب، اسم الأداة، معاملات الإدخال (الأسرار مُنقَّحة)، استجابة الأداة، منطق النموذج المُعلَن، مرجع الصوت إن وُجد، الطابع الزمني، وتجزئة مُربَطة بالسجلِّ السابق. سلسلة التجزئة تعني أنَّ العبث بأثرٍ رجعي قابلٌ للرصد؛ الإلحاقي المفروض يعني أنَّ مهاجماً بصلاحيّة قاعدة البيانات لا يزال يعجز عن إعادة كتابة التاريخ دون ترك أثر.

يُحتفظ بالسجلّ بحسب ولاية العميل القضائيّة — عادةً سبع سنواتٍ لسير العمل المالي، أطول للرعاية الصحيّة المنظَّمة، أقصر للتسويق. سياسة الاحتفاظ مفروضة في قاعدة البيانات، لا في التطبيق. لا يملك المُشغِّل نفسه صلاحيّة حذف سجلّات.

السجلّ قابلٌ للاستعلام عبر واجهةٍ مكتوبةٍ نوعياً تستطيع المالية والقانوني والأمن وصاحب سير العمل استخدامها. نُقدِّم استعلاماتٍ مُحفوظة لأنماط المراجعة الشائعة: "أرني كلَّ إجراءٍ فوق هذا المبلغ الأسبوع الماضي"، "أرني كلَّ تصعيدٍ يشمل هذا الحساب"، "أرني كلَّ استدعاء أداةٍ رفضه حدّ الصلاحيّة هذا الربع".

06الاعتمادات

تعامل الأسرار

لا يرى المُشغِّل أبداً قيم الأسرار. ثلاث طبقاتٍ تمنع هذا:

01تعيش الأسرار في خزنة العميل (متغيّرات بيئة Vercel، AWS Secrets Manager، أو خزنةٍ يُقدِّمها العميل). تُحقَن في الحاوية وقت البدء كمتغيّرات بيئة.
02تستخدم بوّابة الأدوات السرَّ نيابةً عن المُشغِّل حين تُجري استدعاءً خلفياً. يستدعي المُشغِّل الأداة بالاسم؛ تُلصق Glama الاعتماد عند حدّ البوّابة.
03يُسجِّل سجلّ التدقيق أنَّ الاعتماد استُخدم. قيمة الاعتماد لا تدخل أبداً السجلَّ، ولا تدخل الموجِّه، ولا تدخل ذاكرة المُشغِّل.

تُدوَّر الاعتمادات على جدول — عادةً 90 يوماً لاعتمادات الإنتاج، 30 يوماً للاعتمادات عالية المخاطر. التدوير مؤتمت عبر البوّابة؛ لا يحتاج المُشغِّل إلى إعادة نشرٍ لتدوير.

07ثبات السلوك

انضباط إصدار النموذج

النموذج الذي يستخدمه المُشغِّل مُثبَّتٌ بالإصدار. تحديثات النموذج من Anthropic أو OpenAI أو أيِّ مزوِّد لا تنتشر تلقائياً. يصل إصدارٌ جديدٌ المُشغِّل فقط بعد تقييم التراجع:

تُنفَّذ مجموعة إعادة تشغيل لآخر 30 يوماً من تشغيلات المُشغِّل مقابل إصدار النموذج الجديد.
تُقارَن المُخرجات بمُخرجات الإنتاج على مستوى الإجراء (لا الرمز).
أيُّ إجراءٍ يختلف — استدعاء أداةٍ مختلف، معامل مختلف، قرار تصعيدٍ مختلف — يُعلَم للمراجعة البشريّة.
يتخرّج الإصدار الجديد إلى الإنتاج فقط حين يكون الاختلاف مقبولاً وحين يراجع صاحب سير العمل الحالات المُعلَمة.

هذا الانضباط هو كيف نُمسك انحراف السلوك الصامت. تحديثات النموذج أكثر أنماط الفشل شيوعاً للوكلاء الإنتاجيّين التي لا يُحذِّر منها أحد؛ مجموعة التراجع تجعلها مرئيّة.

08حين يحدث خطأ

استجابة الحوادث

دليل استجابة حادثٍ مدفوعٍ بالمُشغِّل له ثلاث مراحل: ارصد، احتوِ، تعلَّم.

الرصد

تبثّ بوّابة الأدوات تدفّقاً في الوقت الحقيقي لاستدعاءاتٍ مرفوضة (انتهاكات حدّ الصلاحيّة)، وأنماط استدعاءٍ غير معتادة (إصابات حدود المعدّل)، ومُحفِّزات تصعيدٍ عالية الثقة. هدف الرصد دون خمس دقائق من الحدث إلى التنبيه؛ عملياً نرى معظمها دون اثنتين.

الاحتواء

الاحتواء تغيير تهيئةٍ واحد: ألغِ اعتمادات المُشغِّل عند البوّابة. تستمرّ الحاوية في العمل لكنَّ كلَّ استدعاء أداةٍ يُرفض. يدخل المُشغِّل فعلياً في وضع قراءة-فقط حتّى يستطيع إنسانٌ التحقيق. لا انقطاع مواجهٌ للعميل؛ لا إجراءاتٌ في الطريق تكتمل.

التعلُّم

كلُّ حادثٍ يُنتج إدخال ما بعد الحدث في سجلّ التدقيق، إصدار النموذج، إصدار حدّ الصلاحيّة، ومواصفة سير العمل في وقت الحادث. يشحن ما بعد الحدث إلى مجموعة التراجع حالةَ اختبارٍ يجب ألّا يفشلها إصدار النموذج التالي.

09ما نُسلِّمه للمُدقِّقين

حزمة مراجعة أمن العميل

للعملاء تحت SOC 2 أو GDPR DPIA أو مراجعة أمنٍ داخليّة، تُقدِّم AIMOCS حزمةً قياسيّة:

مواصفة حدّ الصلاحيّة الموقَّع في وقت نافذة المراجعة، مؤرَّخة بالإصدار.
SBOM لصورة الحاوية ومجموعة قواعد جدار حماية الخروج.
سياسة احتفاظ سجلّ التدقيق وإثبات سلامة سلسلة التجزئة لنافذة المراجعة.
سجلّ إصدار النموذج: كلُّ تغيير إصدارٍ مع نتائج تقييم التراجع مرفقة.
سجلّ تدوير الأسرار: كلُّ تدوير اعتمادٍ مع نطاق الاعتماد الجديد.
سجلّ الحوادث: كلُّ حدث رصدٍ، إجراء الاحتواء، نتيجة ما بعد الحدث.
خريطة إقامة البيانات: حيث كانت حاوية المُشغِّل والذاكرة وسجلّ التدقيق واستدعاءات الأدوات الخلفيّة خلال نافذة المراجعة.

تُوجَد الحزمة لأنَّ البديل — مُدقِّقون يحاولون إعادة بناء ما فعله مُشغِّل من قصاصات سجلّ — هو ما يجعل نشر الوكلاء على سير عمل منظَّمٍ صعباً. الحزمة تجعل المراجعة قابلةً للتكرار.

أسئلة

كيف يُمنع النموذج من تسريب الأسرار عبر الاستجابات؟
لا يرى المُشغِّل قيم الأسرار، فلا يستطيع تسريبها عبر الاستجابة. تمرّ المُخرجات أيضاً بمرحلة تنقيحٍ خارجة قبل أن تغادر حاوية المُشغِّل، طبقةَ دفاعٍ في العمق ضدّ الحالة النادرة حين تصل قيمة سرٍّ إلى المحادثة عبر استجابة أداةٍ مُهيَّأة خطأً.
هل يستطيع العميل إلغاء وصول المُشغِّل دون AIMOCS في الحلقة؟
نعم. تعيش الاعتمادات في خزنة العميل؛ الإلغاء هناك يرفض المُشغِّل فوراً عند البوّابة. تُخطر AIMOCS عبر القناة نفسها لكنّها لا تحتاج إلى التصرّف ليسري الإلغاء.
كيف يعمل هذا مع SIEM الحالي عندنا؟
يُبثّ سجلّ التدقيق في الوقت الحقيقي إلى SIEM العميل (Splunk أو Datadog أو ما يُعادل) كمصرفٍ موازٍ. يستطيع الأمن البحث في نشاط الوكيل إلى جانب التزامات البشر وأحداث المنصّة باستخدام أدواتهم القائمة.
هل سلسلة التجزئة قابلة للتحقّق خارجياً؟
نعم. جذر التجزئة مُربَّطٌ دورياً بخدمة طوابع زمنيّة خارجيّة فيمكن التحقّق من السلسلة دون الثقة ببنية AIMOCS التحتيّة. أداة التحقّق مفتوحة المصدر.
كم تستغرق مراجعة أمن عميلٍ عادةً؟
مع الحزمة القياسيّة، أسبوعان إلى ثلاثة لـ SOC 2 وأربعة إلى ستّة أسابيع لـ GDPR DPIA في تجربتنا. دون الحزمة — حين يجب على العميل إعادة بناء المراجعة من الصفر — عادةً شهران إلى ثلاثة.

مراجع

[1]ورقة بِنية المُشغِّل البيضاء — aimocs.com/papers/autonomous-operator-anatomy.
[2]دليل حزمة Glama MCP — aimocs.com/stack/glama.
[3]OWASP LLM Top 10 (حقن الموجِّه، تسميم بيانات التدريب، إلخ) — تُستخدم جزءاً من مراجعة نموذج تهديد المُشغِّل.
[4]معايير خدمات الثقة SOC 2 — AICPA.

قراءة إضافيّة

ابدأ

لا نقدّم استشارات في الذكاء الاصطناعي. نحن نُديره نيابةً عنك.

احجز استشارة