تحلیل Diplomat: ۸۳٪ از فراخوانی‌های ابزاری عامل‌های هوش مصنوعی فاقد گارد هستند

اگر عامل‌های هوش مصنوعی شما اجازه دسترسی به پایگاه داده یا حذف فایل‌ها را دارند، احتمالاً یک حفره امنیتی بزرگ در سیستم‌تان دارید. باید بدانید که در بسیاری از پیاده‌سازی‌های فعلی، لایه‌های حفاظتی سنتی نادیده گرفته شده‌اند.

یک عامل (Agent) — شبیه به یک کارمند دیجیتال که می‌تواند نرم‌افزارهای مختلف را برای شما اجرا کند — برای انجام هر کار نیاز به فراخوانی ابزار (Tool Call) دارد؛ یعنی در واقع از مدل می‌خواهد دستور خاصی را به سیستم بفرستد. همان‌طور که در تحلیل‌های پیشین ما درباره‌ی امنیت مدل‌های بازمتن دیدیم، اعتماد بیش از حد به لایه‌ی استقرار، همیشه خطرناک است. در برنامه‌های وب سنتی، دکمه‌های رابط کاربری و میان‌افزارها جلوی دسترسی‌های غیرقانونی را می‌گیرند، اما در سیستم‌های عامل‌محور، مدل زبانی خودش تصمیم می‌گیرد چه تابعی را با چه آرگومانی اجرا کند و عملاً این لایه‌ها را دور می‌زند.

طبق اعلام سازندهٔ diplomat-agent-ts در ۳ ژوئن ۲۰۲۶، اسکن امنیتی روی سه پروژهٔ OpenClaw، Mastra و OpenAI Agents JS نتایج تکان‌دهنده‌ای داشت. بر اساس این مستندات، از مجموع ۶۶۹ تابع بررسی‌شده، ۵۵۳ مورد هیچ گارد امنیتی نداشتند:

• در پکیج‌های OpenAI Agents JS، نرخ شکست بسیار بالا بود و ۹۴٪ فراخوانی‌ها هیچ بررسی امنیتی نداشتند.
• فراخوانی‌های «تخریبی» مانند اجرای دستورات شل (Shell) و زیرپردازش‌ها شایع‌ترین موارد بودند و ۴۸۶ بار تکرار شدند.
• این شکاف‌ها دقیقاً با استانداردهای امنیتی OWASP برای سیستم‌های عامل‌محور، به‌ویژه موارد ASI-01 (عاملیت بیش از حد) و ASI-03 (به خطر افتادن امتیازات دسترسی) در تضاد هستند.

این لغزش به معنای آسیب‌پذیری مطلق تمام اپلیکیشن‌ها نیست، اما یک «شکاف موجودی» خطرناک را نشان می‌دهد. بسیاری از گاردها در لایه‌هایی مخفی شده‌اند که اسکنرهای استاتیک نمی‌بینند. تحلیل ما این است که برنامه‌نویسان دیگر نمی‌توانند به لایه‌ی استقرار تکیه کنند. امنیت نباید در رابط کاربری باشد، بلکه باید دقیقاً در کنار کدِ فراخوانی قرار بگیرد.

گام بعدی شما

• اگر از زبان تایپ‌اسکریپت برای ساخت عامل‌ها استفاده می‌کنید، همین حالا دستور npx @diplomat-ai/diplomat-agent-ts scan . را اجرا کنید.
• در گزارش نهایی، به دنبال برچسب «no_checks» بگردید تا پرخطرترین قابلیت‌های عامل خود را شناسایی کنید.
• برای هر تابعی که اثر جانبی (Side Effect) دارد، یک لایه‌ی اعتبارسنجی ورودی مستقیم در سطح کد تعریف کنید.

اما داستان سخت‌افزاری این تحولات حتی شگفت‌انگیزتر است؛ برای درک اینکه پردازش‌های امنیتی چطور روی سخت‌افزار اثر می‌گذارند، به تحلیل ما درباره‌ی تراشه‌های Blackwell مراجعه کنید.