أداة إنفيديا الجديدة أصلحت مهارات الوكلاء للتو
AAI LABS
Computing/SoftwareSmall Business/StartupsInternet Technology
Transcript
00:00:00في الوقت الحالي، مهارات وكلاء الذكاء الاصطناعي موجودة في كل مكان. كل وكيل يشغلها وأنت تثق بها دون أي
00:00:05تحقق. ولكن إليك الجزء المخيف. درس الباحثون أكثر من 30,000 من هذه المهارات وأكثر من
00:00:10ربعها كان يحتوي على ثغرة أمنية. لذا قامت إنفيديا ببناء أداة تسمى “Skill Spectre” التي
00:00:15تفحص أي مهارة قبل تثبيتها وتخبرك بمدى خطورتها بالضبط. ولكن هنا
00:00:20يصبح الأمر مثيرًا للاهتمام. نوع واحد من الهجمات يمكن أن يتجاوزها والإعداد الذي يقوم فعليًا
00:00:24باكتشافه يكون معطلاً افتراضيًا، لذا لا يعرف معظم الناس حتى بوجوده. تفعيل ذلك عادة
00:00:29يكلف مالاً، لكننا وجدنا طريقة لتجاوزه. وفي النهاية، لم نكتفِ بمسح المهارات فحسب. بل بنينا
00:00:34سير عمل كامل يغير طريقة عثورك عليها وتثبيتها بشكل نهائي. الآن قبل أن ندخل في سير العمل
00:00:39الكامل، دعنا نعطيك جولة سريعة على الأداة وما تحتاجه لاستخدامها. إذن هذه هي أوامر التثبيت
00:00:44في مستودع GitHub. يمكنك ببساطة نسخها وإعطاؤها لـ Claude Code وسيقوم أساسًا
00:00:49بتثبيت وإعداد كل شيء لك. سيقوم Claude Code بتثبيت جميع التبعيات التي يمكنك
00:00:54رؤيتها هنا. وبمجرد الانتهاء من كل ذلك، يمكنك البدء في استخدام Skill Spectre. داخل مستودع GitHub،
00:00:59يوجد مجلد الاختبار هذا، وبداخله بعض المهارات الخطيرة التي يمكنك تشغيلها فعليًا لتتأكد
00:01:04من أن الأداة تعمل. لقد قمنا بتشغيلها على هذه المهارات، ومع كل واحدة منها، تخبرك بعدم
00:01:09التثبيت. كلما زادت النتيجة، كانت المهارة أكثر خطورة. ومع كل اختبار، لا تكتفي بإعطائك
00:01:14رقمًا فقط. بل توضح لك رقم السطر الدقيق، والموقع الدقيق واسم الملف حيث يوجد التضارب
00:01:19الذي أدى أساسًا إلى رفع النتيجة. الآن هذه ليست الطريقة الوحيدة لاستخدام الأداة، فلديها
00:01:24وضع آخر. ولكن قبل أن تفهم سبب احتياجنا لهذا الوضع الثاني، تحتاج إلى معرفة شيئين: كيف تهاجمك
00:01:30المهارة وكيف تكتشف هذه الأداة هذا الهجوم فعليًا. هناك 14 فئة،
00:01:34ولكن لتبسيط الأمر، قمنا بتجميعها في ست فئات متشابهة. لذا فإن الطريقة الأولى التي يمكن للمهارة أن تهاجمك بها
00:01:39هي التعليمات المخفية. انظر، المهارة هي مجرد ملف نصي مليء بالتعليمات ويقرأ وكيلك
00:01:45الملف بالكامل ويعتبره أوامر. المشكلة هي أن المهارة السيئة يمكنها إخفاء تعليمات إضافية بداخلها
00:01:50لن تراها أبدًا، لكن الوكيل يراها. إنهم يضعونها داخل التعليقات، أو يستخدمون أحرفًا غير مرئية،
00:01:55أو يقومون بتشفير النص إلى رمز يبدو ككلام فارغ بالنسبة لك، لكن الذكاء الاصطناعي يقرأه بشكل جيد.
00:02:01لذا صُممت الماسحة الضوئية خصيصًا لتعقب هذه التعليمات المخفية والعثور عليها. الطريقة الثانية
00:02:06هي الانتحال. وكيلك لديه أدوات يثق بها ويلجأ إليها بالاسم. قل أن هناك أداة تسمى “read”
00:02:12تقرأ ملفًا له. لذا تعطي مهارة ضارة أداتها الخاصة نفس الاسم تمامًا،
00:02:17ويقوم وكيلك باختيار الأداة السيئة ظنًا منه أنها الأداة الآمنة التي يعرفها بالفعل. والطريقة التي يفعلون بها
00:02:22ذلك مخادعة. إنهم يستبدلون حرفًا واحدًا بآخر مشابه من أبجدية أخرى. لذا يسمونها “read”،
00:02:27لكن حرف “A” هو في الواقع حرف روسي يبدو متطابقًا مع حرفنا. بالنسبة لك وبالنسبة لوكيلك
00:02:33للوهلة الأولى، هي نفس الكلمة، لكن في الداخل هي أداة مختلفة تمامًا. وتكتشف الماسحة
00:02:38هذا عن طريق التحقق من الهوية الحقيقية لكل حرف، لذا فهي ترصد هذا الحرف المزيف
00:02:43وتضع علامة عليه. الطريقة الثالثة هي عندما تكذب المهارة ببساطة بشأن ما تفعله. الوصف يقول شيئًا،
00:02:48والكود يفعل شيئًا آخر. لذا تطلق على نفسها اسم أداة تنسيق بسيطة ثم تصل بهدوء إلى
00:02:53الإنترنت في الخلفية. أو تقول إنها تحتاج فقط إلى إذن لقراءة ملفاتك، بينما يقوم الكود
00:02:58فعليًا بكتابة ملفات وتشغيل أوامر أيضًا. وهذا النوع أصعب في الاكتشاف. وهنا يأتي دور
00:03:03ذلك الوضع الثاني، لكننا سنصل إليه لاحقًا. الطريقة الرابعة هي أن المهارة تسرق بيانات اعتمادك.
00:03:08قد تكون هذه مفاتيح API الخاصة بك، أو كلمات مرورك. لذا تمر المهارة عبر جميع المفاتيح المحفوظة على جهازك،
00:03:13وتجمعها، وترسلها إلى خادم ما. الطريقة الخامسة هي أن المهارة تشغل
00:03:18برامج ضارة مباشرة. وهذا يشمل أشياء مثل “Reverse Shell”، الذي يمنح أساسًا شخصًا غريبًا
00:03:23تحكمًا عن بعد في جهاز الكمبيوتر الخاص بك بالكامل. ولأن هذا النوع من البرامج الضارة له بصمات معروفة،
00:03:28تقوم الماسحة الضوئية بمطابقة الكود مقابل مكتبة كبيرة من تلك البصمات. والطريقة السادسة هي
00:03:32تسميم التبعيات. فغالبًا ما تستخدم المهارة أداة CLI، وهي أساسًا برنامج خارجي صغير تشغله في
00:03:39المحطة الطرفية للتعامل مع جزء من عملها. وتأخذ المهارة السيئة جزءًا ضارًا فعليًا.
00:03:44ربما تكون حزمة مزيفة باسم يختلف بحرف واحد عن اسم حزمة مشهورة. لذا تقوم بسحب
00:03:49الحزمة الخاطئة وهي تشغل برامج ضارة مثل النوع السابق. لذا تتحقق الماسحة من كل حزمة تسحبها المهارة
00:03:54مقابل قاعدة بيانات حية للحزم الضارة المعروفة. وتضع علامة على الأسماء المزيفة وأوامر التنزيل والتشغيل
00:03:59للحفاظ على أمان نظامك. لذا في ذلك الوضع الأول، هي مجرد مطابقة للأنماط دون أي سياق،
00:04:05مما يعني أنها تنتهي بوضع علامة على أشياء سليمة تمامًا. وتلك هي ما نسميه بالإيجابيات
00:04:09الكاذبة. وهنا يأتي دور الوضع الثاني، فحص الذكاء الاصطناعي، وتفعيله بسيط. أنت فقط
00:04:14تضع علامة “no LLM” هذه ويقوم الفحص الثاني هنا. ولكن إذا نظرت داخل الكود، ستكتشف
00:04:20أنه لتشغيل فحص ذكاء اصطناعي على مهارة، تحتاج إلى إدخال مفتاح OpenAI. لذا لتجاوز هذه التكلفة،
00:04:26نستخدم Claude Code نفسه لتشغيل فحص الذكاء الاصطناعي هذا. الآن الوكيل الرئيسي في Claude Code لا يفعل ذلك
00:04:32بنفسه في الواقع. نحن نستخدم وضع “headless” الخاص بـ Claude، وهو أساسًا Claude Code يعمل في الخلفية
00:04:38بدون نافذة دردشة، ينفذ الأوامر بمفرده فقط. ونحن متأكدون من أن معظمكم يعلم أنه ليس مجانيًا،
00:04:43ولكنك تحصل على أرصدة شهرية له مع خطط Anthropic الخاصة بك. ويمكنك ببساطة أن تطلب من Claude Code
00:04:48إجراء التغيير الذي تحدثنا عنه للتو وسيقوم بذلك من أجلك. بالطبع قد تواجه خطأ أو خطأين،
00:04:52لكنه مجرد مطالبة من سطر واحد يمكن لـ Claude إعدادها لك. وإذا كنت تستمتع بالفيديو حتى الآن،
00:04:57اشترك في القناة واضغط على زر الإعجاب. لفتة الدعم الصغيرة هذه تقطع شوطًا طويلًا معنا.
00:05:03لذا لديهم أيضًا مهارات خطيرة في مجلد الاختبار الخاص بهم والتي تحتاج فعليًا إلى فحص الذكاء الاصطناعي. عندما
00:05:07تشغل فحص “no LLM” على إحداها، تخرج النتيجة صفرًا، مما يعني أنها آمنة تمامًا.
00:05:12ولكن في اللحظة التي تشغلها فيها مع فحص الذكاء الاصطناعي، تقفز النتيجة إلى 100، وتخبرك بألا تثبتها،
00:05:17وتوضح لك بالضبط السبب. ولكن ماذا لو أنه بدلًا من مجرد اكتشاف المشكلات في المهارة،
00:05:22ساعدتك الماسحة الضوئية أيضًا في إصلاحها. هذا هو بالضبط سبب تحويلنا للماسحة الضوئية إلى مهارة. و
00:05:27قد تتساءل لماذا تسمى “Discover Skills”؟ حسنًا، لأننا لم نصنع مهارة واحدة
00:05:31منفصلة فقط. لقد صنعنا عملية كاملة تساعدنا على اكتشاف المزيد من المهارات والتأكد من أنها آمنة
00:05:36قبل تثبيتها. لذا كنا نستخدم skills.sh للعثور على مهارات جديدة لفترة من الوقت الآن. هو أساسًا
00:05:42مستودع git صُمم خصيصًا للمهارات. لذا فهي مكتبة واحدة كبيرة يمكنك السحب منها. ونعتقد أنهم
00:05:47أصدروا مؤخرًا تحديثًا لـ CLI. لذا يمكن لـ Claude الآن تشغيل استعلامات البحث مباشرة عبر سطر الأوامر
00:05:53وسحب أفضل المهارات التي يحتاجها قبل تثبيت أي شيء. وأردنا أن تعمل ماسحتنا
00:05:57فوق ذلك. لذا هنا، لدينا scan.sh، وهو السكريبت الذي يشغل فعليًا
00:06:02Skill Spectre. نظرًا لأن Skill Spectre هي أداة CLI، يجب تشغيلها كأمر. لذا صنعنا سكريبت كاملًا
00:06:08وقمنا بدمج إصلاح وضع “Claude headless” بداخله. لذا افتراضيًا، يشغل الفحص
00:06:13العادي، ولكن إذا أردت، سيشغل فحص الذكاء الاصطناعي أيضًا. وإذا فتحت skill.md، يمكنك رؤية الخطوات الأساسية
00:06:19الموضحة. فهي تحدد الهدف، ثم تمسحه، ثم تعرض لك النتائج. وبمجرد معرفتها
00:06:24لما هي المشكلات، تمضي قدمًا وتصلحها، ثم تشغل الحلقة الكاملة مرة أخرى بعدها للتأكد
00:06:28من أن كل شيء نظيف. على سبيل المثال، هذا المجلد الذي نعرضه لكم الآن هو مجلد تصميم مختبرات الذكاء الاصطناعي لدينا.
00:06:34إنه أساسًا عملية تصميمنا بالكامل مضغوطة في مجلد واحد مع مجموعة من المهارات
00:06:39بداخله. لدينا فيديو كامل عن هذا. وعلاوة على ذلك، النظام بأكمله متاح في AI labs
00:06:44pro، وهو مجتمعنا. لذا إذا كنت ترغب في دعم القناة والحصول على نظام التصميم هذا بالكامل،
00:06:49اذهب وتحقق منه. ومهارة الاكتشاف هذه سيتم تحميلها هناك أيضًا. الرابط سيكون
00:06:54في الوصف، لكننا نبني فوق هذا هنا. لذا نضيف مهارة جديدة تسمى make design.md،
00:06:59التي توضح أسرع طريقة لسحب رموز التصميم من تطبيق قمت ببنائه بالفعل، أساسًا الألوان،
00:07:04الخطوط، وقواعد التباعد، ودمجها في ملف design.md. لذا هنا أردنا إنشاء
00:07:10ملف design.md. لذا أخبرناه أننا نريد تحسينه وأنه يجب أن يبحث عن أدوات
00:07:15أخرى موجودة هناك. لذا استخدم skills.sh، ثم قمنا بتحميل مهارة الاكتشاف وسحبت لنا
00:07:21حفنة من المهارات. هذه هي المهارات التي أعادتها وبدا أول اثنين مثيرين للاهتمام. لذا أردنا
00:07:26التعمق. طلبنا منه تثبيت واختبار كليهما. ومثلما يقول سير عمل اكتشاف المهارات،
00:07:31لن يقوم بتثبيت أي مهارة دون فحصها أولًا. لذا قام بتثبيتها وقراءتها
00:07:36وأخبرنا بصراحة أن أيًا منهما لن يساعد في مهارة make design.md. لكن من وجهة
00:07:41نظر أمنية، حصلت الأولى على نتيجة 10، مما يعني أنها آمنة، وحصلت الثانية على
00:07:46100، مما يعني لا تثبتها. لذا طلبنا منه تشغيل فحص الذكاء الاصطناعي على تلك المهارة الثانية. قام بتشغيلها مرة أخرى
00:07:52عبر وضع Claude headless وهذه المرة عادت النتيجة بصفر. هذا يعني أن المهارة
00:07:56كانت آمنة للاستخدام. وهذا هو الهدف كله من هذا النظام. أنت لا تكتفي فقط بالتقاط المهارات عشوائيًا من
00:08:01الإنترنت. لديك عملية كاملة يمكنك البدء بها فقط باستخدام مهارة. الآن لنسمع
00:08:06كلمة من راعينا. Nimblist. إذا كنت تستخدم Claude Code أو codex، فأنت تعرف المشكلة. لديك
00:08:12جلسات متعددة تعمل، والملفات تتغير في كل مكان، وأنت تنتقل باستمرار بين المحطة الطرفية، والمتصفح،
00:08:17والمحرر فقط لتتبع ما يفعله وكلاؤك. Nimblist هي مساحة عمل مرئية مفتوحة المصدر
00:08:23تضع كل شيء في مكان واحد. كان لدي ثلاثة وكلاء يعملون على أجزاء مختلفة من مشروع
00:08:28في نفس الوقت وبدلًا من القفز عبر النوافذ، تمكنت من رؤيتهم جميعًا على لوحة Kanban، والقفز إلى
00:08:33أي جلسة، ومراجعة تغييرات الكود كفروق حمراء وخضراء، والموافقة عليها أو رفضها بشكل فردي. كنت
00:08:38أحرر مستندات markdown، ونماذج واجهة المستخدم، ورسوم التخطيط الهيكلية بصريًا بجانب وكيلي. عندما كنت
00:08:45أنهي العمل، لم أضطر لتنظيف عمليات الالتزام (commits) يدويًا لأنها أنشأت رسائل التزام git تلقائيًا
00:08:50بناءً على ما تغير. بقيت المهام متصلة بالجلسات الفعلية وهناك حتى تطبيق جوال
00:08:56لمواصلة الجلسة أثناء تواجدك بعيدًا عن مكتبك. Nimblist مجانية تمامًا ومفتوحة المصدر
00:09:00ويمكنك التحقق منها باستخدام الرابط في التعليق المثبت. هذا يوصلنا إلى نهاية هذا
00:09:05الفيديو. إذا كنت ترغب في دعم القناة ومساعدتنا في الاستمرار في صنع فيديوهات كهذه، يمكنك القيام بذلك
00:09:10باستخدام زر “Super Thanks” أدناه. كما هو الحال دائمًا، شكرًا لكم على المشاهدة وأراكم في الفيديو القادم.
Community Posts
No posts yet. Be the first to write about this video!
Write about this video