بنيت بوت واتساب يشتغل؟ ممتاز. لكن هل هو آمن؟
معظم الناس يبنون البوت ويشغّلونه مباشرة — بدون أي حماية. والنتيجة؟ إما أن يُستغل البوت لإرسال spam، أو تُحظر أرقامهم من واتساب، أو ينهار الـ workflow بالكامل من أول هجوم بسيط.
في هذا المقال، نكشف عن 5 طبقات أمان احترافية نستخدمها في كل بوت واتساب نبنيه لعملائنا — مع شرح لماذا كل طبقة ضرورية وما الذي يحدث إن غابت.
لماذا الأمان ضروري في بوت واتساب؟
واتساب Business API ليس مجرد “endpoint” تفتحه للعالم. هو بوابة مباشرة لعملائك، ولحساب شركتك على Meta، ولرقم هاتفك التجاري. أي ثغرة فيه تعني:
- 📵 حظر رقمك نهائياً من واتساب بسبب إرسال spam
- 💸 فواتير API ضخمة من طلبات وهمية لا تتوقف
- 🤖 استغلال البوت لإرسال رسائل لم تأذن بها
- 📉 تجربة عملاء كارثية إن تعطّل الـ workflow فجأة
المشكلة الأكبر: معظم هذه الهجمات لا تأتي من قراصنة محترفين. تأتي من bots عشوائية تمسح الإنترنت، ومن منافسين، أو حتى من عميل غاضب يرسل آلاف الرسائل في ثوانٍ.
الطبقة الأولى: التحقق من هوية الطلب — HMAC-SHA256 Signature Validation
⚠️ ماذا يحدث بدونها؟
أي شخص يعرف رابط الـ webhook الخاص بك يستطيع إرسال طلبات وهمية — يتظاهر فيها بأنه واتساب. البوت سيردّ عليها كأنها رسائل حقيقية، وستحسب عليك في الـ API، وقد تحصل على ردود الذكاء الاصطناعي لأشخاص لم يتواصلوا أصلاً.
✅ ما الذي تفعله هذه الطبقة؟
Meta تُرسل مع كل webhook طلب توقيعاً رقمياً — هو HMAC-SHA256 hash محسوب من محتوى الرسالة بالضبط، باستخدام سر التطبيق الخاص بك. البوت يُعيد حساب هذا التوقيع ويقارنه بما أرسلته Meta. إن تطابقا → الطلب أصيل. إن اختلفا → مرفوض فوراً.
⬆️ إعداد الـ Crypto node في n8n لحساب HMAC-SHA256 والتحقق من هوية كل طلب قادم من Meta
💡 نصيحة: الـ App Secret يُحفظ في Crypto Credential داخل n8n — لا يُكتب نصاً في الـ workflow أبداً.
الطبقة الثانية: إدارة المستخدمين المحظورين — Blocked Users Management
⚠️ ماذا يحدث بدونها؟
شخص يُسيء استخدام البوت أو يُحاول استغلاله — ويستمر في فعل ذلك إلى الأبد. لا توقف، لا عواقب.
✅ ما الذي تفعله هذه الطبقة؟
نظام حظر متدرّج وتلقائي:
- المخالفات 1-4: حظر مؤقت 5 دقائق
- المخالفة 5+: حظر دائم تلقائي
كل مخالفة تُسجَّل في قاعدة البيانات مع السبب ووقت الحظر. الإدارة تتم بـ stored procedure واحدة تُقرر تلقائياً نوع الحظر.
💡 في حالات الطوارئ: يمكن حظر مستخدم يدوياً في ثوانٍ مباشرة من Supabase، بدون توقف الـ workflow.
الطبقة الثالثة: تحديد معدل الرسائل — Rate Limiting
⚠️ ماذا يحدث بدونها؟
شخص يرسل 500 رسالة في دقيقة واحدة → الذكاء الاصطناعي يُعالج 500 طلب → فاتورة LLM ضخمة → احتمال تعطّل الـ server → واتساب يرى نشاطاً غير طبيعي ويحظر رقمك.
✅ ما الذي تفعله هذه الطبقة؟
الحد: 5 رسائل كل 60 ثانية لكل مرسل. كل رسالة واردة تُسجَّل، وقبل المعالجة يحسب البوت عدد رسائل هذا المرسل في الدقيقة الأخيرة. إن تجاوز الحد → يُرفض الطلب فوراً. والجدول يُنظَّف تلقائياً كل ساعة بـ pg_cron.
الطبقة الرابعة: اكتشاف الـ Spam — Pattern-Based Spam Detection
⚠️ ماذا يحدث بدونها؟
رسائل تحتوي على روابط احتيالية أو محتوى مسيء تصل لنموذج الذكاء الاصطناعي — وقد تُستخدم كـ “prompt injection” لتغيير سلوك البوت بالكامل.
✅ ما الذي تفعله هذه الطبقة؟
فلترة ذكية بـ نظام نقاط خطورة (severity scoring):
- روابط متعددة في رسالة واحدة → نقاط خطورة عالية
- كلمات spam معروفة → نقاط متوسطة
- أنماط prompt injection → رفض فوري
كل رسالة تجمع نقاط الخطورة — إن تجاوزت الحد تُرفض وتُسجَّل في security_log.
⬆️ جدول security_log في Supabase — كل طلب مرفوض يُسجَّل مع سبب الرفض للمراجعة والتحليل
الطبقة الخامسة: منع إعادة تشغيل الرسائل — Duplicate Message Prevention
⚠️ ماذا يحدث بدونها؟
هجوم “Replay Attack”: المهاجم يلتقط رسالة webhook حقيقية ويُعيد إرسالها مرات ومرات. بدون هذه الطبقة، رسالة واحدة يمكن إعادة إرسالها 10,000 مرة.
✅ ما الذي تفعله هذه الطبقة؟
كل رسالة في واتساب لها message_id فريد (wamid). البوت يتحقق من هذا الـ ID قبل أي معالجة. إن وُجد مسبقاً → رفض فوري. إن لم يُوجد → معالجة طبيعية.
كيف تعمل الطبقات الخمس معاً؟
📨 رسالة واردة من واتساب
↓
🔐 [1] التحقق من التوقيع (HMAC-SHA256)
↓
🚫 [2] التحقق من المستخدمين المحظورين
↓
⏱️ [3] التحقق من معدل الرسائل
↓
🔍 [4] فحص محتوى Spam
↓
🔄 [5] التحقق من تكرار الرسالة
↓
🤖 معالجة الذكاء الاصطناعي والرد
⬆️ نظرة عامة على الـ execution logs في n8n — يظهر الـ workflow الكامل مع أكثر من 60 node تشمل كل طبقات الأمان
هل تحتاج مساعدة في بناء بوت واتساب آمن؟
بناء هذه الطبقات بالشكل الصحيح يحتاج خبرة في n8n، Supabase، WhatsApp Business API، وأمان الـ webhooks. إن كنت:
- تريد بناء بوت واتساب احترافي لعملك من الصفر
- عندك بوت موجود لكنه بدون حماية وتريد تأمينه
- وصلت لمشكلة تقنية محددة ولا تعرف حلها
نحن هنا للمساعدة. فريق FlowStack AI متخصص في بناء أنظمة أتمتة واتساب للشركات في السعودية والإمارات ومصر والخليج العربي.
📞 تواصل معنا الآن
📸 إنستغرام: @flowstackai
📘 فيسبوك: FlowStack AI
🎬 يوتيوب: قناة FlowStack AI
نبني لك بوت واتساب احترافي وآمن — جاهز للإنتاج خلال أيام.
خلاصة
بوت واتساب بدون أمان هو مثل باب بيتك بدون قفل. الطبقات الخمس:
- 🔐 HMAC-SHA256: يتحقق أن كل طلب أصيل من Meta
- 🚫 Blocked Users: يمنع المسيئين من العودة
- ⏱️ Rate Limiting: يحمي من الـ spam flooding
- 🔍 Spam Detection: يُصفّي المحتوى الضار قبل الذكاء الاصطناعي
- 🔄 Duplicate Prevention: يُوقف هجمات Replay Attack
كل طبقة تحمي من هجوم مختلف. معاً، يجعلن بوتك جاهزاً للإنتاج الحقيقي — لا للتجارب فقط.