ثغرات ChainLeak: خطر يهدد أنظمة الذكاء الاصطناعي

تاريخ النشر: منذ شهر آخر تحديث: منذ يوم 53 مشاهدة 0 تعليق 2 دقائق قراءة

كشف باحثون أمنيون في مختبرات Zafran Labs عن ثغرتين خطيرتين في إطار العمل الشهير مفتوح المصدر Chainlit، المستخدم لبناء تطبيقات الذكاء الاصطناعي المحادثة. الثغرات التي أُطلق عليها اسم "ChainLeak" تمكن المهاجمين من قراءة أي ملف على الخادم وتسريب معلومات حساسة للغاية.

يتمتع إطار عمل Chainlit بشعبية كبيرة، حيث يسجل متوسط 700,000 عملية تنزيل شهرياً على سجل PyPI، ويستخدم بشكل واسع في المؤسسات الكبيرة والجهات الأكاديمية لتوفير واجهات مستخدم جاهزة لتطبيقات الدردشة المدعومة بالذكاء الاصطناعي.

تفاصيل ثغرات ChainLeak

تؤثر المشكلات الأمنية المكتشفة على أنظمة الذكاء الاصطناعي المتصلة بالإنترنت ويمكن استغلالها دون أي تفاعل من المستخدم. وقد تم تتبع الثغرتين تحت المعرفات التالية:

ثغرة CVE-2026-22218: تتيح قراءة الملفات التعسفية. يمكن للمهاجمين استغلال نقطة النهاية /project/element لإجبار Chainlit على نسخ ملف محدد (عبر حقل المسار) إلى جلسة المهاجم دون التحقق من الصلاحيات.
ثغرة CVE-2026-22219: ثغرة تزوير الطلب من جانب الخادم (SSRF). تؤثر على عمليات نشر Chainlit التي تستخدم طبقة بيانات SQLAlchemy، حيث يمكن للمهاجمين التلاعب بحقل العنوان لإجبار الخادم على جلب بيانات خارجية وتخزينها.

المخاطر والآثار المترتبة

أوضح الباحثون أن استغلال هذه الثغرات يسمح للمهاجمين بالوصول إلى ملفات حساسة جداً متاحة لخادم Chainlit. تشمل البيانات المعرضة للخطر:

مفاتيح واجهة برمجة التطبيقات (API Keys).
بيانات اعتماد الحسابات السحابية.
الكود المصدري وملفات التكوين الداخلية.
قواعد بيانات SQLite وأسرار المصادقة.

كما أثبتت Zafran Labs إمكانية دمج الثغرتين في سلسلة هجوم واحدة، مما يتيح اختراق النظام بالكامل والتحرك الجانبي داخل البيئات السحابية للمؤسسات.

الإصلاح والتوصيات

قام الباحثون بإبلاغ القائمين على Chainlit بالثغرات في 23 نوفمبر 2025. واستجابة لذلك، تم إصلاح الثغرات وإطلاق النسخة الآمنة في 24 ديسمبر 2025.

بناءً على خطورة الموقف، يُنصح بشدة جميع المؤسسات والمطورين الذين يستخدمون Chainlit بالترقية فوراً إلى الإصدار 2.9.4 أو أحدث (الإصدار الأحدث حالياً هو 2.9.6) لضمان حماية أنظمتهم وبياناتهم من الاختراق.

ثغرات ChainLeak: خطر يهدد أنظمة الذكاء الاصطناعي

تفاصيل ثغرات ChainLeak

المخاطر والآثار المترتبة

الإصلاح والتوصيات

الأمن السيبراني

تحذير: APT37 تخترق الشبكات المعزولة بحملة Ruby Jumper

يوروبول: 30 اعتقالاً في حملة مكافحة شبكة 'The Com' الإجرامية 2025

تحذير CISA: برمجية RESURGE الخبيثة كامنة بأجهزة Ivanti

حادثة خطيرة: الجيش الأمريكي يسقط طائرة CBP بليزر قرب الحدود

ثغرة مفاتيح Google API تهدد بيانات Gemini AI بالتعرض (2026)

تحذير: ثغرتان خطيرتان بـ Trend Micro Apex One تتيحان RCE (2025)

التعليقات 0

تفاصيل ثغرات ChainLeak

تحذير: APT37 تخترق الشبكات المعزولة بحملة Ruby Jumper

يوروبول: 30 اعتقالاً في حملة مكافحة شبكة 'The Com' الإجرامية 2025

تحذير CISA: برمجية RESURGE الخبيثة كامنة بأجهزة Ivanti

حادثة خطيرة: الجيش الأمريكي يسقط طائرة CBP بليزر قرب الحدود

ثغرة مفاتيح Google API تهدد بيانات Gemini AI بالتعرض (2026)

تحذير: ثغرتان خطيرتان بـ Trend Micro Apex One تتيحان RCE (2025)

المخاطر والآثار المترتبة

الإصلاح والتوصيات

الأمن السيبراني

تحذير: APT37 تخترق الشبكات المعزولة بحملة Ruby Jumper

يوروبول: 30 اعتقالاً في حملة مكافحة شبكة 'The Com' الإجرامية 2025

تحذير CISA: برمجية RESURGE الخبيثة كامنة بأجهزة Ivanti

حادثة خطيرة: الجيش الأمريكي يسقط طائرة CBP بليزر قرب الحدود

ثغرة مفاتيح Google API تهدد بيانات Gemini AI بالتعرض (2026)

تحذير: ثغرتان خطيرتان بـ Trend Micro Apex One تتيحان RCE (2025)

شارك هذا المقال

التعليقات 0

صفحات الموقع

مركز المساعدة

سياسة الخصوصية

شروط الاستخدام

من نحن

تواصل معنا