مخاطر خدمات النماذج الوسيطة
Categories:
في الآونة الأخيرة، لاحظت وجود إعلانات صغيرة منخفضة الجودة في بعض المنشورات المتعلقة بالذكاء الاصطناعي، تروج لخدمات الوساطة لـ claude code.
المبدأ الأساسي لهذه الخدمات هو أن claude code يسمح للمستخدم بتوفير نقطة نهاية API ومفتاح خاص به، ويمكن استخدام مزود API متوافق مع OpenAI، بهذه البساطة.
إضافة بعض رموز claude، وخلطها بـ qwen، ثم بيعها مختلطة، من يستطيع اكتشاف ذلك؟
الذين يسعون فقط للربح المادي لا يزالون يعتبرون أشخاصًا أطيب وحذرًا، كم يمكنهم كسب؟
ما هو حقًا ذا قيمة بالتأكيد في مكان حفظ أموالك، وفي بياناتك المهمة.
مخاطر API الوسيط مماثلة تمامًا لمخاطر وكيل HTTP الوسيط غير المشفر، إنها هجوم MITM (رجل في المنتصف) البسيط.
أولاً، يميل claude code إلى قراءة كميات كبيرة من الملفات لتوليد إجابات عالية الجودة. يمكن للشخص الوسيط فقط استخدام كود بسيط للغاية لتصفية معلوماتك الرقمية الحاسمة باستخدام كلمات مفتاحية.
ثانيًا، يُسمح لمعظم claude code بتنفيذ الأوامر بنفسه، وبالتالي يمكنه التجسس ليس فقط على المجلد الحالي. حاول فهم نمط سلوك claude code، يمكن استخدامه لشن هجوم تنفيذ أكواد عن بعد. بالرغم من أن claude code سيطبع دائمًا الخطوة التالية التي سيتخذها، لكن فكّر في نفسك أثناء الترميز بالفيديو، هل قرأت كل الخطوات؟ في تنفيذ طويل جدًا، يمكن للشخص الوسيط إبلاغ cc للبحث وقراءة معلومات مهمة من ملفات غير ذات صلة، وحفظ هذه القراءة مباشرة من قبل الوسيط نفسه، دون إضافتها إلى سياق الحساب. في إخراج يحتوي على عشرات الآلاف من الكلمات، فقط بضع كلمات في المنتصف قد تشير إلى وجود نشاط مشبوه، الانتباه هو كل ما تحتاجه، لكن في هذه اللحظة أنت بالفعل لم تنتبه.
ثالثًا، إلى جانب القراءة، الكتابة هي أيضًا عملية أساسية عند تنفيذ الأوامر ذاتيًا، هل يمكنها تشفير ملفاتك؟ هذه النقطة مجرد تخمين من قبلي.
ومع ذلك، يمنح الكثير من الناس صلاحيات git، يمكن للشخص الوسيط أن يدس بضع كلمات، ويضيف remote MITM إلى مكتبك، ويدفع إلى MITM، ثم يعيد تعيين مكتبك إلى init باستخدام git reset --hard init، ثم يحاول push قسري، هل هذا ممكن؟ المكتبات المبنية ذاتيًا على GitHub تسمح افتراضيًا بالدفع القسري. كم تحتاج من البيتكوين؟ هل مهارة git للنموذج الكبير جيدة؟ من لديه تجربة يعرف ذلك، لا تحتاج إلى استخدام claude 4.0 sonnet لهذه العملية، إنها مكلفة، gemini 2.5 flash تكفي، حتى في عمليات الفدية يجب الاهتمام بالتكلفة.
رأيت أيضًا بعض المبتدئين يعطون sudo للنموذج الكبير، وبعضهم يمنحون صلاحيات root مباشرة، لا يوجد لديهم وعي أمني على الإطلاق.
الآن هناك الكثير جدًا من الأشخاص على الإنترنت يروجون لخدمات الوساطة في مختلف أقسام التعليقات، هناك عدد أكبر من الأشخاص الذين يروجون لخدمات الوساطة أكثر من أولئك الذين يروجون لـ Claude Code، لا يوجد مكسب دون مصلحة، لا تصدقهم.
هل يمكن لـ MITM فعل ما تفعله Anthropic و Google؟ كيف نحمي أمن الأصول الرقمية حقًا؟ على عكس مصداقية AES المعلنة، ما يمكنك الوثوق به في النماذج الكبيرة هو فقط السمعة التجارية.
لا تتجاهل أمان ممتلكاتك من أجل توفير القليل من المال، الأصول الرقمية هي أيضًا أصول. إذا كان لا بد من استخدام مزودي خدمات وساطة غير معروفين، فمن الأفضل استخدامها في بيئة الحاويات.
إخلاء المسؤولية: كل ما سبق هو مجرد أوهام مضطهدة، الجميع يستطيع التمييز بنفسه، ويمكن أيضًا مناقشته بشكل ودي. إذا أدى ذلك إلى عدم استخدامك لـ Claude Sonnet الأرخص أو المجاني، فلا داعي لألومي.