OWASP · talesh · May 3, 2025 · May 2, 2025
@@ -20,7 +20,7 @@
 
 1. يتم إدخال مخرجات نموذج اللغة الكبير (LLM) مباشرةً في غلاف نظام (System Shell) أو دالة مماثلة مثل exec أو eval، مما يؤدي إلى تنفيذ تعليمات برمجية عن بُعد (Remote Code Execution).
 2. يُولّد النموذج تعليمات برمجية بلغة JavaScript أو Markdown ويتم إرجاعها إلى المستخدم، حيث يتم تفسير الشيفرة بواسطة المتصفح، مما يؤدي إلى هجوم XSS.
-3. تُنفذ استعلامات SQL التي ينتجها النموذج دون استخدام المعاملات المُخصصة (Proper Parameterization)، مما يؤدي إلى حدوث هجوم حقن SQL (SQL Injection).
+3. تُنفذ استعلامات SQL التي يولّدها النموذج دون استخدام المعاملات المُخصصة (Proper Parameterization)، مما يؤدي إلى حدوث هجوم الحقن (SQL Injection).
 4. يتم استخدام مخرجات نموذج اللغة الكبير في إنشاء مسارات ملفات بدون تنقية مناسبة، مما قد يؤدي إلى ثغرات اجتياز المسار (Path Traversal).
 5. يتم استخدام المحتوى الذي يولده نموذج اللغة الكبير في قوالب البريد الإلكتروني بدون ترميز مناسب (Proper Escaping)، مما قد يؤدي إلى هجمات تصيّد (Phishing Attacks).
 
@@ -38,27 +38,27 @@
 
 ### أمثلة على سيناريوهات الهجوم
 
-#### السيناريو  #1
+#### السيناريو #1
 تستخدم تطبيق إضافة (Extension) مبنية على نموذج اللغة الكبير (LLM) لتوليد استجابات لميزة الدردشة.
 تقدم هذه الإضافة أيضًا عددًا من الوظائف الإدارية المتاحة لنموذج لغة آخر يمتلك امتيازات إضافية.
 يمرر نموذج اللغة العام استجابته مباشرة، دون التحقق السليم من المخرجات، إلى الإضافة، مما يتسبب في إيقاف الإضافة للصيانة.
-#### السيناريو  #2
+#### السيناريو #2
   يستخدم مستخدم أداة تلخيص مواقع إلكترونية تعتمد على نموذج اللغة الكبير (LLM) لإنشاء ملخص لمقال. تتضمن صفحة الموقع حقن تعليمات (Prompt Injection) تطلب من النموذج التقاط محتوى حساس من الموقع أو من محادثة المستخدم. بعد ذلك، يمكن للنموذج ترميز البيانات الحساسة وإرسالها، دون تحقق أو تصفية، إلى خادم خاضع لسيطرة المهاجم.
 
-#### السيناريو  #3
+#### السيناريو #3
 يسمح نموذج اللغة الكبير (LLM) للمستخدمين بإنشاء استعلامات SQL لقاعدة بيانات خلفية عبر ميزة شبيهة بالدردشة. يطلب مستخدم إنشاء استعلام لحذف جميع جداول قاعدة البيانات. إذا لم يتم فحص الاستعلام الذي أنشأه النموذج بشكل صحيح، فقد يتم حذف جميع جداول قاعدة البيانات.
 
 
 #### السيناريو #4
  يستخدم تطبيق الويب نموذج اللغة الكبير (LLM) لتوليد محتوى بناءً على تعليمات نصية من المستخدمين دون تنقية للمخرجات. يمكن لمهاجم إرسال تعليمات مصممة خصيصًا، مما يؤدي إلى أن يقوم النموذج بإرجاع حمولة JavaScript غير مُنقّاة، مما يؤدي إلى هجوم XSS عند عرضها في متصفح الضحية. عدم التحقق الكافي من التعليمات سمح بحدوث هذا الهجوم.
 
 
-#### السيناريو  # 5
+#### السيناريو #5
 يُستخدم نموذج اللغة الكبير (LLM) لإنشاء قوالب رسائل بريد إلكتروني ديناميكية لحملة تسويقية. يقوم مهاجم بالتلاعب بالنموذج لإدخال شفرة JavaScript ضارة ضمن محتوى البريد الإلكتروني. إذا لم يقم التطبيق بتنقية مخرجات النموذج بشكل صحيح، فقد يؤدي ذلك إلى هجمات XSS على المستلمين الذين يعرضون البريد الإلكتروني في عملاء بريد إلكتروني معرضين للخطر.
 
 
 #### السيناريو #6
-تستخدم شركة برمجيات نموذج اللغة الكبير (LLM) لتوليد كود برمجي من مدخلات لغوية طبيعية بهدف تسريع مهام التطوير. رغم الفعالية، إلا أن هذا النهج يعرض الشركة لخطر تسريب معلومات حساسة، أو إنشاء طرق معالجة بيانات غير آمنة، أو إدخال ثغرات مثل حقن SQL. قد يقوم النموذج أيضًا بهلوسة توصيات بحزم برمجية غير موجودة، مما قد يؤدي إلى تحميل موارد مصابة ببرمجيات خبيثة. لذلك، من الضروري إجراء مراجعة دقيقة للشيفرة والتحقق من الحزم المقترحة أمرين بالغَي الأهمية لمنع الخروقات الأمنية، والوصول غير المصرح به، واختراق الأنظمة.
+تستخدم شركة برمجيات نموذج اللغة الكبير (LLM) لتوليد كود برمجي من مدخلات لغوية طبيعية بهدف تسريع مهام التطوير. رغم الفعالية، إلا أن هذا النهج يعرض الشركة لخطر تسريب معلومات حساسة، أو إنشاء طرق معالجة بيانات غير آمنة، أو إدخال ثغرات مثل ثغرات الحقن. قد يقوم النموذج أيضًا بهلوسة توصيات بحزم برمجية غير موجودة، مما قد يؤدي إلى تحميل موارد مصابة ببرمجيات خبيثة. لذلك، من الضروري إجراء مراجعة دقيقة للشيفرة والتحقق من الحزم المقترحة أمرين بالغَي الأهمية لمنع الخروقات الأمنية، والوصول غير المصرح به، واختراق الأنظمة.