MAESTRO، الدفاع المتعمق ولماذا أصبح SQL Server حدوداً أمنياً للذكاء الاصطناعي

تُبنى نماذج تهديدات الأمان على افتراضات حول من أو ماذا يقدم الطلبات. يفترض STRIDE وجود جهات فاعلة بشرية تتفاعل مع الأنظمة عبر واجهات محددة. لا تعمل عملاء الذكاء الاصطناعي بهذه الطريقة.

لم يُصمَّم STRIDE لعملاء الذكاء الاصطناعي

تعمل الأنظمة العميلية بشكل مستقل، وتربط الأدوات عبر استدعاءات API، وتتخذ قرارات حول البيانات التي ستسترجعها والإجراءات التي ستنفذها، ويمكنها تلقي التعليمات من مصادر متعددة — مطالبات المستخدم ونتائج الأدوات والبيانات المسترجعة. لا يلتقط نموذج تهديد STRIDE (Spoofing، Tampering، Repudiation، Information Disclosure، Denial of Service، Elevation of Privilege) بشكل كافٍ ناقلات الهجوم الخاصة بالعملاء مثل حقن المطالبة وتسميم السياق وإساءة استخدام الأدوات.

نشر تحالف أمن السحابة (Cloud Security Alliance) إطار MAESTRO خصيصاً لمخاطر عملاء الذكاء الاصطناعي.

إطار MAESTRO

يُنظّم MAESTRO مخاطر الذكاء الاصطناعي العميلي في سبع طبقات:

1. Foundation Models — نماذج LLM الأساسية وثغرات تدريبها
2. Data Operations — استرجاع البيانات وتخزينها ومعالجتها
3. Agent Frameworks — برنامج الوساطة لتنسيق العملاء وتنسيقها
4. Deployment & Infrastructure — أماكن تشغيل العملاء وكيفية تكوينهم
5. Evaluation & Observability — مراقبة سلوك العميل بمرور الوقت
6. Security & Compliance — ضوابط الوصول والتدقيق والامتثال التنظيمي
7. Agent Ecosystem — كيفية تفاعل العملاء مع بعضهم ومع الأدوات الخارجية

لكل طبقة ناقلات هجوم محددة لا تعالجها ضوابط الأمان التقليدية مباشرة.

Microsoft SQL كحد تنفيذ محكوم

يُعيَّن SQL Server 2025 على طبقات MAESTRO بطرق ملموسة:

طبقة Data Operations: يحافظ AI_GENERATE_EMBEDDINGS المدمج في T-SQL على العمليات المتجهة ضمن الحد المحكوم لقاعدة البيانات. لا تحتاج البيانات إلى مغادرة قاعدة البيانات نحو خدمة النموذج لمعالجة التضمينات.

طبقات Security & Compliance: تُطبَّق أمان مستوى الصف (RLS) وإخفاء البيانات الديناميكي (DDM) بصرف النظر عن كيفية وصول الطلب — سواء من مستخدم بشري أو عميل ذكاء اصطناعي. لا يمكن للعميل تجاوز الضوابط التي تفرضها قاعدة البيانات نفسها.

طبقة Agent Frameworks: تعمل الإجراءات المخزنة كحدود أدوات. بدلاً من منح العملاء وصولاً عشوائياً إلى SQL، تُعرِّف العمليات المسموح بها كإجراءات وتكشفها كأدوات عملاء. تمنع الاستعلامات ذات المعاملات الحقن على مستوى التنفيذ.

طبقة Evaluation & Observability: يلتقط تسجيل التدقيق وQuery Store ما نفَّذه كل عميل فعلياً — ليس فقط ما طُلب منه. تُعدّ إمكانية التتبع هذه حيوية للتحقيق في الحوادث في الأنظمة العميلية حيث الإسناد معقد.

الدفاع المتعمق للذكاء الاصطناعي العميلي

يظل المبدأ كما هو في الأمان التقليدي: لا تكفي ضابطة واحدة. ما يتغير هو أي الضوابط تهم أكثر للعملاء:

تقليل نصف القطر الانفجاري: حدود الأدوات عبر الإجراءات المخزنة تعني أن العميل المخترق يمكنه تنفيذ عمليات محددة مسبقاً فقط. لا يمكنه التحول إلى استعلامات عشوائية.

إمكانية المراقبة: يجب أن تتمكن من الإجابة على “ماذا فعل هذا العميل بالضبط؟” بعد وقوع حادثة. الأنظمة العميلية للذكاء الاصطناعي دون إمكانية تتبع على مستوى قاعدة البيانات لها نقاط عمياء لا يغطيها تسجيل التطبيقات.

التنفيذ المقيد: المعاملات وRLS وDDM أصول أمنية بصرف النظر عما إذا كان المتصل بشرياً. لا تضعفها لاستيعاب العملاء.

المساءلة: يُنشئ تسجيل التدقيق في SQL Server سجلاً بمن (أي عميل، باستخدام أي بيانات اعتماد) نفَّذ ماذا في أي وقت. هذا يهم عندما تتخذ الأنظمة العميلية إجراءات ذات عواقب حقيقية في العالم.

لم يُبنَ SQL Server 2025 لحل المخاطر العميلية بشكل مجرد — بُني ليكون قاعدة بيانات علائقية. لكن الحوكمة التي تجعل قاعدة بيانات المؤسسات موثوقة تتضح أنها بالضبط ما يجعل حد تنفيذ العملاء آمناً.

المنشور الأصلي: Microsoft SQL Security Across the MAESTRO Stack