وكيل ذكاء اصطناعي ينفذ أول هجوم فدية كامل ذاتياً

ثغرة حرجة في إطار Langflow تمنح الذكاء الاصطناعي التوليدي قدرة الاختراق الكامل.

وكيل ذكاء اصطناعي ينفذ أول هجوم فدية كامل ذاتياً
أول حالة موثقة لهجوم فدية يقوده وكيل ذكاء اصطناعي بالكامل.

رصد باحثو شركة الأمن السحابي Sysdig حدثاً غير مسبوق في المشهد السيبراني، يمثل أول حالة موثقة لهجوم فدية كامل يديره وينفذه وكيل ذكاء اصطناعي بشكل مستقل تماماً. اعتمد الهجوم، الذي أطلق عليه اسم JadePuffer، على استغلال ثغرة أمنية في إطار العمل مفتوح المصدر Langflow، مكن النموذج اللغوي الكبير من أتمتة كافة مراحل الاختراق؛ وشملت هذه العمليات الاستطلاع الأولي، وجمع البيانات السرية، والتحرك الجانبي داخل الشبكة، وصولاً إلى تشفير قواعد البيانات، مع تميزه بالقدرة على التكيف الآني وتوثيق منطق العمليات عبر تعليقات مكتوبة باللغة الطبيعية.

جرى تنفيذ هذا الهجوم عبر مرحلتين متتاليتين؛ ركزت الأولى على استهداف خادم Langflow المتصل بالإنترنت، بينما انتقلت الثانية لاستهداف خادم إنتاج منفصل يحتوي على قاعدة بيانات MySQL ومنصة Nacos المخصصة للتكوين واكتشاف الخدمات. وقد أرسلت كافة الحمولات البرمجية مشفرة بصيغة Base64 عبر نقطة نهاية تنفيذ الأكواد في Langflow، مستغلة الثغرة الأمنية الحرجة (CVE-2025-3248 بتقييم CVSS عند 9.8)، وهي ثغرة ناتجة عن غياب المصادقة تم إصلاحها في أبريل 2025، وأدرجتها وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) ضمن قائمة الثغرات المستغلة فعلياً في مايو من العام نفسه.

المعالم الرئيسة للهجوم

العنصرالتفاصيل
ثغرة الدخول الأولي(CVE-2025-3248 بتقييم CVSS عند 9.8) في Langflow، تسمح بتنفيذ أوامر Python عشوائية دون مصادقة.
ثغرة تجاوز المصادقة(CVE-2021-29441 بتقييم CVSS عند 8.6) في Nacos. تستخدم مع مفتاح توقيع JWT افتراضي معروف.
سلوك الوكيل الذكيتكيف فوري مع الأخطاء (مثلاً تصحيح تسجيل دخول فاشل خلال 31 ثانية)، وتعليقات باللغة الطبيعية تشرح منطقه.
أسلوب التشفيراستخدم الدالة AES_ENCRYPT() في MySQL لتشفير 1,342 عنصر تكوين، مع حذف النسخ الأصلية وإنشاء جدول ابتزاز (README_RANSOM). مفتاح التشفير عشوائي ولم يُحفظ أو يُرسل، ما يجعل استرداد البيانات مستحيلاً.
الوصول إلى MinIOاستخدم بيانات الاعتماد الافتراضية (minioadmin:minioadmin) لتعداد المخازن واستخراج ملف credentials.json الحساس

رصد باحثو شركة الأمن السحابي Sysdig حدثاً غير مسبوق في المشهد السيبراني، يمثل أول حالة موثقة لهجوم فدية كامل يديره وينفذه وكيل ذكاء اصطناعي بشكل مستقل تماماً. اعتمد الهجوم، الذي أطلق عليه اسم JadePuffer، على استغلال ثغرة أمنية في إطار العمل مفتوح المصدر Langflow، مكن النموذج اللغوي الكبير من أتمتة كافة مراحل الاختراق؛ وشملت هذه العمليات الاستطلاع الأولي، وجمع البيانات السرية، والتحرك الجانبي داخل الشبكة، وصولاً إلى تشفير قواعد البيانات، مع تميزه بالقدرة على التكيف الآني وتوثيق منطق العمليات عبر تعليقات مكتوبة باللغة الطبيعية.

جرى تنفيذ هذا الهجوم عبر مرحلتين متتاليتين؛ ركزت الأولى على استهداف خادم Langflow المتصل بالإنترنت، بينما انتقلت الثانية لاستهداف خادم إنتاج منفصل يحتوي على قاعدة بيانات MySQL ومنصة Nacos المخصصة للتكوين واكتشاف الخدمات. وقد أرسلت كافة الحمولات البرمجية مشفرة بصيغة Base64 عبر نقطة نهاية تنفيذ الأكواد في Langflow، مستغلة الثغرة الأمنية الحرجة (CVE-2025-3248 بتقييم CVSS عند 9.8)، وهي ثغرة ناتجة عن غياب المصادقة تم إصلاحها في أبريل 2025، وأدرجتها وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) ضمن قائمة الثغرات المستغلة فعلياً في مايو من العام نفسه.

المعالم الرئيسة للهجوم

العنصر

التفاصيل

ثغرة الدخول الأولي

(CVE-2025-3248 بتقييم CVSS عند 9.8) في Langflow، تسمح بتنفيذ أوامر Python عشوائية دون مصادقة.

ثغرة تجاوز المصادقة

(CVE-2021-29441 بتقييم CVSS عند 8.6) في Nacos. تستخدم مع مفتاح توقيع JWT افتراضي معروف.

سلوك الوكيل الذكي

تكيف فوري مع الأخطاء (مثلاً تصحيح تسجيل دخول فاشل خلال 31 ثانية)، وتعليقات باللغة الطبيعية تشرح منطقه.

أسلوب التشفير

استخدم الدالة AES_ENCRYPT() في MySQL لتشفير 1,342 عنصر تكوين، مع حذف النسخ الأصلية وإنشاء جدول ابتزاز (README_RANSOM). مفتاح التشفير عشوائي ولم يُحفظ أو يُرسل، مما يجعل استرداد البيانات مستحيلاً.

الوصول إلى MinIO

استخدم بيانات الاعتماد الافتراضية (minioadmin:minioadmin) لتعداد المخازن واستخراج ملف credentials.json الحساس.

 

عقب نجاح الاختراق الأولي وتنفيذ الكود، بدأ الوكيل مرحلة استطلاع منظمة ودقيقة، جمع خلالها معلومات عن المضيف، وفحص البيئة الرقمية بحثاً عن مفاتيح واجهة برمجة التطبيقات (API) الخاصة بمزودي النماذج اللغوية مثل OpenAI وAnthropic وDeepSeek. 

كما استهدف الحصول على بيانات الاعتماد السحابية لمزودين صينيين إلى جانب منصات AWS وAzure وGCP، بالإضافة إلى محافظ العملات الرقمية وملفات التكوين. وفي خطوة لاحقة، استخرج الوكيل محتويات قاعدة بيانات Postgres التابعة لـ Langflow للاستحواذ على الأسرار المخزنة فيها، ثم فحص نطاق العناوين الداخلية للشبكة لتحديد أي خدمات إضافية قابلة للاستغلال.

وفي إجراء يعكس فهماً متقدماً للمكونات السحابية، توجه الوكيل نحو مخزن الكائنات MinIO، وهو حل تخزين متوافق مع S3 وواسع الانتشار في البيئات السحابية. وتمكن من الولوج إليه باستخدام بيانات الاعتماد الافتراضية، ليقوم بتعداد الحاويات وسحب ملف تكوين يحتوي على مفاتيح وصول وأسرار حساسة، ما يبرهن على قدرة النموذج اللغوي على استهدف عناصر البنية التحتية غير التقليدية.

بعد ترسيخ وجوده داخل الشبكة، انتقل الوكيل إلى الخادم الإنتاجي الذي يشغل خدمة Nacos، حيث هاجمها عبر مسارات متعددة شملت استغلال ثغرة تجاوز المصادقة CVE-2021-29441، وتزوير رمز JWT صالح بالاعتماد على مفتاح التوقيع الافتراضي الشائع. كما قام بحقن باب خلفي للإدارة في قاعدة بيانات Nacos مستفيداً من صلاحيات الجذر لقاعدة MySQL. وعقب ذلك، شفر الوكيل كافة عناصر التكوين البالغ عددها 1,342 عنصراً، وحذف جداول البيانات الأصلية، لينشئ جدولاً مخصصاً للابتزاز يحتوي على طلب الفدية وعنوان دفع بالبيتكوين وبريد إلكتروني للتواصل عبر Proton Mail.

تكمن المفارقة في هذه العملية في أن مفتاح التشفير وُلد عشوائياً وجرى التخلص منه فوراً، ما يعني أن البيانات المدمرة غير قابلة للاسترداد حتى في حال سداد المبلغ المطلوب. وأشار الباحثون إلى أن عنوان البيتكوين المستخدم مأخوذ من وثائق عامة معروفة، مما يرجح أن النموذج اللغوي اقتبسه تلقائياً دون إدراك حقيقي. ولضمان استمرارية الوصول إلى النظام، أنشأ الوكيل مهمة مجدولة للاتصال بالبنية التحتية للمهاجم كل 30 دقيقة.

لا تعود خطورة هذا الهجوم وتميزه إلى تعقيده التقني الصرف، وإنما إلى السلوك المستقل تماماً الذي أبداه الوكيل الذكي. فقد تضمنت الحمولات البرمجية تعليقات مكتوبة بلغة طبيعية توضح أولويات الاستهداف ومنطق العمليات، وهو أسلوب يختص به الكود البرمجي المولد عبر النماذج اللغوية الكبيرة. وظهرت قدرة الوكيل في تصحيح أخطائه ذاتياً بناء على السياق الراجع من النظام، بدلاً من تكرار المحاولات بشكل آلي. وأكد مايكل كلارك، مدير أبحاث التهديدات في Sysdig، أهمية الحدث قائلاً: “هذه أول حالة نوثقها لعملية فدية وكيلية بالكامل، حيث أدار النموذج اللغوي كل شيء من البداية إلى النهاية”.

يسهم هذا النمط الجديد من التهديدات في خفض عتبة المهارات التقنية المطلوبة لتنفيذ هجمات معقدة، إذ بات دمج نموذج لغوي قوي مع بنية تحتية مهملة كافياً لتوجيه ضربات تخريبية مدمرة. وبناء على ذلك، يوصي الباحثون بضرورة تحديث منصة Langflow بشكل فوري، وعزل خوادم إطارات العمل الخاصة بها عن شبكة الإنترنت المباشرة، مع تغيير المفاتيح الافتراضية لخدمة Nacos، ومراقبة الحمولات البرمجية بدقة لرصد أي تعليقات باللغة الطبيعية أو أنماط تكيف غير اعتيادية. 

ويختتم التقرير بتحذير للمدافعين السيبرانيين بضرورة الاستعداد لمواجهة تصاعد مستمر في حجم هذه الحملات ونطاقها بالتزامن مع تطور ونضوج أدوات الوكلاء الأذكياء.

الموثوقة والمعتمدة لدى خبراء الأمن السيبراني

تقرأ في نشرتنا التي تصلك كل أسبوع:

  • أحدث أخبار ومستجدات الأمن السيبراني محليًا وعالميًا.
  • تحليلات وتقارير دقيقة يقدمها خبراء المجال.
  • نصائح عملية لتطوير استراتيجياتك السيبرانية.
  • مراجعات شاملة لأهم الأحداث والتطورات التقنية
اذهب إلى الأعلى