تعتبر وكلاء الذكاء الاصطناعي الشخصيين، مثل OpenClaw، أدوات قوية تساعد المستخدمين في إنجاز مهامهم اليومية كالبحث على الإنترنت وإدارة الملفات والبريد الإلكتروني. لكن، مع قدرتهم على الوصول إلى موارد الحاسوب بما في ذلك الشبكة ونظام الملفات، يصبحون عرضة لهجمات الدفع غير المباشر (Indirect Prompt Injection). في الماضي، كانت هناك دفاعات تعتمد على نماذج لغوية مزدوجة (Dual LLM) تتصدى لهذه الهجمات عن طريق استبدال البيانات غير الموثوقة برموز يمكن للعميل الرجوع إليها ولكن لا يمكنه قراءتها.

ومع ذلك، كانت هذه الدفاعات تراقب البيانات غير الموثوقة فقط ضمن سياق العميل، مما يعني أنه عند حفظ البيانات غير الموثوقة وإعادة قراءتها لاحقًا، يمكن أن تعود كمعلومات موثوقة، وهذا ما يُعرف بـ "التخزين اللاحق للهجمات" (stored IPI). ولأن الوكلاء مثل OpenClaw يعملون في بيئة حقيقية يشاركها البشر والبرامج، فإن الدفاع الذي يتجاهل هذه البيئة يعاني من نقص.

لذلك، تم تقديم نظام DualView، الذي يعزز تتبع البيانات غير الموثوقة من سياق الوكيل إلى البيئة المخصصة للمستخدم، بما في ذلك نظام الملفات والشبكة وغير ذلك. يقدم DualView صورتين لكل قناة؛ حيث ترى "AgentView" البيانات غير الموثوقة كرموز حتى بعد كتابتها وإعادة قراءتها، مما يمنع التخزين اللاحق للهجمات، بينما تحافظ "HumanView" على البيانات الأصلية للبشر والأدوات.

يتكامل DualView كإضافة لـ OpenClaw باستخدام نقاط تداخل الأدوات، دون تغيير منطق استدعاء الأدوات أو تنفيذه. ومن خلال عزل البيانات غير الموثوقة، يبقى حماية DualView غير محدودة بقوالب هجوم معروفة. في تقييمنا باستخدام معيار IPI وPinchBench، منع DualView جميع هجمات IPI بما في ذلك التخزين اللاحق، بينما حافظ على كفاءة قريبة من عتبة الحماية غير المتحصنة.

بفضل حلول مثل DualView، أصبح من الممكن تأمين تجربة استخدام وكلاء الذكاء الاصطناعي الشخصيين دون التضحية بالوظائف.