أضاف GitHub إلى CodeQL استعلامًا جديدًا يبحث عن مسار محدد: قيمة يسيطر عليها المستخدم تصل إلى System Prompt لنموذج ذكاء اصطناعي. هذا يحول فئة من مخاطر Prompt Injection من نصائح عامة إلى تدفق بيانات يمكن لأداة تحليل ساكن تتبعه داخل الكود.
ما الذي تغير؟
يحمل الإصدار 2.26.0 الاستعلام js/system-prompt-injection لمشاريع JavaScript وTypeScript. كما وسّع GitHub نقاط الوصول التي يفهمها التحليل داخل SDKs من OpenAI وAnthropic وGoogle، ومنها تعليمات الجلسات الفورية والمحتوى المخزن وتعليمات النظام.
الإصدار لا يقتصر على الذكاء الاصطناعي: يضيف دعم Kotlin حتى 2.4.0، ويحسن نمذجة Razor Pages في C# وواجهات السجل في Go، ويقلل نتائج كاذبة في عدة استعلامات.
لماذا يهم؟
المشكلة التي يرصدها الاستعلام ليست كل أنواع Prompt Injection. هو يبحث عن حالة يمكن تعريفها في الكود: بيانات غير موثوقة تدخل منطقة يفترض أن تتحكم في سلوك النموذج. النتيجة تنبيه مبكر مفيد، لكنها لا تغني عن فصل التعليمات عن المحتوى، وتقييد الأدوات، واختبار السلوك وقت التشغيل.
المصدر الرسمي: GitHub Changelog — 10 يوليو 2026.