ثغرات تهدد منصات الذكاء الاصطناعي لدى كبرى شركات التقنية

كشف باحثون عن ثغرات خطيرة في محركات الاستدلال الذكية التي تعتمد عليها شركات كبرى مثل Meta وNvidia وMicrosoft إلى جانب مشاريع مفتوحة المصدر مثل vLLM وSGLang. وتبين أن هذه الثغرات تسمح بتنفيذ أوامر برمجية عن بعد عبر استغلال خيارات الاتصال الداخلي في طبقات التشغيل.

ثغرات مترابطة تكشف نمط ShadowMQ في آلية الاستدلال

أوضح تقرير صادر عن Oligo Security أن جميع الثغرات المكتشفة تعود إلى خطأ برمجي واحد ظهر في طريقة استخدام ZeroMQ، إلى جانب اعتماد غير آمن على آلية pickle في لغة Python. وأشار التقرير إلى أن هذا النمط الذي يعرف ضمن المجتمع التقني باسم ShadowMQ انتقل إلى عدد من المشاريع بسبب إعادة استخدام الشيفرات من دون مراجعة أمنية كافية.

وتبين أن مصدر النمط الأساسي يعود إلى إطار Llama التابع لشركة Meta، والذي كان قد تلقى تحديثاً لمعالجة الثغرة المسجلة تحت الرمز CVE-2024-50050. فقد كان الإطار يعتمد على أسلوب recv_pyobj الخاص بـZeroMQ في استقبال البيانات، وهو أسلوب يسمح بتمرير كائنات Python وإعادة بنائها بشكل غير آمن. كما اتضح أن المكتبة pyzmq نفسها عالجت المشكلة في تحديث لاحق.

انتشار الخلل في مشاريع الذكاء الاصطناعي الأخرى

رصد الباحثون تكرار استخدام الأسلوب ذاته في مشاريع متعددة، من بينها NVIDIA TensorRT LLM وMicrosoft Sarathi Serve وModular Max Server بالإضافة إلى vLLM وSGLang. وأكد التقرير أن جميع هذه المشاريع احتوت على نمط يكاد يكون متطابقاً، يقوم بتنفيذ عملية deserialization عبر ZeroMQ من دون تحقق أو حماية.

وأشار الباحثون إلى أن تحليل الشيفرات أظهر نقلاً مباشراً لأجزاء من الكود بين المشاريع. ففي SGLang ذكرت الملفات بشكل صريح أنها اعتمدت على vLLM، بينما استعان Modular Max Server بآليات مشابهة من المشروعين السابقين، مما أدى إلى إعادة إنتاج الخلل ذاته عبر أنظمة مختلفة.

أرقام الثغرات المسجلة والتحديثات المتاحة

وثقت الجهات المختصة الثغرات تحت مجموعة من الرموز الفنية:

• CVE-2025-30165 في vLLM (لم بتم حلها بشكل كامل ولكن جرى تغيير المحرك الافتراضي)
• CVE-2025-23254 في NVIDIA TensorRT LLM (عولجت في النسخة 0.18.2)
• CVE-2025-60455 في Modular Max Server (أعلنت معالجتها)
• Sarathi Serve (لا يزال دون تحديث)
• SGLang (تحديثات غير مكتملة)

وحذر التقرير من أن اختراق أي نقطة استدلال داخل مجموعة خوادم الذكاء الاصطناعي قد يسمح للمهاجم بترقية صلاحياته وسرقة النماذج وتشغيل برمجيات ضارة مثل أدوات التعدين الرقمي بهدف تحقيق مكاسب مالية.

المخاطر الناتجة عن إعادة استخدام الشيفرات في أنظمة سريعة التطور

أشارت Oligo Security إلى أن المشاريع التقنية تتطور بوتيرة متسارعة، خصوصاً في مجال الذكاء الاصطناعي، وهو ما يدفع مطورين لاستنساخ البنى البرمجية من مشاريع أخرى بهدف تقليص الوقت. لكن إعادة استخدام أنماط غير آمنة في التطبيقات الخاصة بالاستدلال يؤدي إلى نشر الثغرات بشكل واسع ومعقد، مما يجعل تصحيحها أكثر صعوبة وتأثيرها أكبر.

هجمات تستهدف بيئات التطوير المعتمدة على محررات الذكاء الاصطناعي

إلى جانب الثغرات المتعلقة ببنى الاستدلال، كشف تقرير جديد صادر عن منصة Knostic أن بيئة التطوير Cursor تتعرض هي الأخرى لمخاطر ناجمة عن هجمات تعتمد على JavaScript injection. وتبين أن المخترقين يستطيعون تسجيل خادم محلي مزيف عبر بروتوكول Model Context Protocol مما يتيح التلاعب بصفحات تسجيل الدخول وإعادة توجيه بيانات المستخدم إلى خوادم خارجية.

ووفقاً للتقرير، فإن تنزيل خادم MCP وتشغيله داخل Cursor يسمح بحقن تعليمات داخل المتصفح المدمج، مما يؤدي إلى إظهار صفحات دخول مزيفة تجمع بيانات اعتماد المستخدم. كما أكدت النتائج أن البيئة باعتبارها مبنية على Visual Studio Code معرضة أيضاً لهجمات تعتمد على امتدادات مزروعة قادرة على تنفيذ تعليمات على مستوى النظام.

آثار الدخول إلى مستوى المفسر في بيئات التطوير

تشير النتائج إلى أن تنفيذ تعليمات JavaScript على مستوى Node.js داخل البيئة يمنح المهاجم قدرة كاملة على ملفات النظام وإمكانية تعديل الامتدادات البرمجية وتثبيت تعليمات خبيثة تعاود النشاط بعد كل إعادة تشغيل. وتؤدي هذه القدرة إلى تحويل بيئة التطوير نفسها إلى منصة لنشر البرمجيات الضارة وسحب البيانات الحساسة.

تدابير الحد من المخاطر في منصات التطوير

توصي الجهات الأمنية بأن يعطل المستخدمون خاصية التشغيل التلقائي داخل بيئات العمل، وأن يتأكدوا من موثوقية امتدادات البرمجة، وأن يعتمدوا خوادم MCP من مصادر موثوقة فقط. كما تنصح بمراجعة الأذونات المطلوبة لكل خادم وتخصيص مفاتيح API بحدود دنيا من الصلاحيات وفحص الشيفرة المصدرية قبل استخدامها في عمليات حساسة.