كشف باحثون في الأمن السيبراني عن ثغرات خطيرة تتيح تنفيذ تعليمات برمجية عن بُعد داخل أبرز محركات الاستدلال الخاصة بالذكاء الاصطناعي، بما في ذلك تلك التابعة لشركات Meta وNvidia وMicrosoft، إضافة إلى أطر مفتوحة المصدر مثل vLLM وSGLang. وترجع هذه الثغرات إلى مشكلة جذرية مشتركة تمثلت في اعتماد غير آمن لمكتبة ZeroMQ وآلية Pickle الخاصة بتسلسل البيانات في بايثون.
الجذر التقني للثغرة: ShadowMQ وإعادة استخدام الأنماط الضعيفة
وفق التقرير الصادر عن باحث Oligo Security آفي لوميليسكي، تعود جذور المشكلة إلى إطار Llama من Meta (المعرّف CVE-2024-50050)، والذي كان يستقبل بيانات عبر recv_pyobj() في ZeroMQ، ويقوم بفكّ تسلسلها باستخدام pickle. وبما أن المقبس الشبكي كان مكشوفًا عبر الإنترنت، تمكن المهاجم نظريًا من إرسال بيانات خبيثة تسمح بتنفيذ تعليمات برمجية عن بُعد.
هذه الثغرة، التي أُصلحت لاحقًا في إطار Llama وكذلك في مكتبة pyzmq، تسربت إلى مشاريع أخرى نتيجة إعادة استخدام الشيفرة، ما أدى إلى انتشار ما يُعرف بنمط ShadowMQ داخل منظومة الذكاء الاصطناعي.
موجة من الأطر المتأثرة.. وثغرات عالية الخطورة
رصد الباحثون النمط ذاته داخل أطر استدلالية متعددة، بينها:
-
NVIDIA TensorRT-LLM (المعرّف CVE-2025-23254، جرى إصلاحه في النسخة 0.18.2)
-
vLLM (المعرّف CVE-2025-30165، لم يُصلح بالكامل لكن جرى الاعتماد على محرك V1 لتخفيف المخاطر)
-
Modular Max Server (المعرّف CVE-2025-60455، تم إصلاحه)
-
Sarathi-Serve (ما يزال دون إصلاح)
-
SGLang (إصلاحات غير مكتملة)
وبحسب Oligo، فإن بعض الملفات الضعيفة كانت منسوخة حرفيًا عبر المشاريع، ما أدى إلى تكرار الخلل ذاته رغم اختلاف الشركات والمطورين.
تداعيات أمنية خطيرة: من سرقة النماذج إلى التعدين الخبيث
تعمل محركات الاستدلال كوحدات أساسية في بنية الذكاء الاصطناعي. وبالتالي، فإن اختراق عقدة واحدة يمنح المهاجم قدرة على:
-
تنفيذ تعليمات برمجية عبر كامل التجهيزات
-
رفع الامتيازات والتحكم بالبنية
-
سرقة النماذج الحساسة
-
زرع برمجيات تعدين العملات المشفرة أو أحمال خبيثة أخرى
توضح Oligo أن سرعة التطوير واعتماد المشاريع على شيفرات بعضهم البعض يسهم في انتشار الأخطاء بسرعة مذهلة، خصوصًا تلك المتعلقة بسوء استخدام Pickle وZMQ.
هجمات جديدة تستهدف متصفح Cursor عبر سموم JavaScript
وفي تطور موازٍ، كشف تقرير من منصة Knostic لأمن الذكاء الاصطناعي عن إمكانية اختراق المتصفح المدمج داخل محرر الأكواد Cursor عبر حقن JavaScript.
الهجوم الأول يقوم بتسجيل خادم MCP محلي مزيف يتمكن من تجاوز الضوابط الأمنية وتبديل صفحات تسجيل الدخول بأخرى مزيفة تسحب بيانات اعتماد المستخدم وترسلها للخارج.
كما يمكن لمهاجم تطوير امتداد خبيث – نظرًا لاعتماد Cursor على Visual Studio Code – بهدف حقن JavaScript داخل بيئة العمل وتنفيذ أوامر مطلقة، بما في ذلك تعديل الامتدادات أو وسم الامتدادات السليمة بأنها “خبيثة”.
وتشير المنصة إلى أن تنفيذ الشيفرة على مستوى Node.js يفتح الباب أمام تحكم كامل بالنظام، بما يشمل القدرة على تحويل بيئة التطوير نفسها إلى منصة توزيع للبرمجيات الخبيثة.
وللحد من المخاطر، يُنصح المستخدمون بتعطيل ميزة التشغيل التلقائي داخل بيئات التطوير، والتدقيق في الامتدادات ومخدمات MCP، واستخدام مفاتيح API بصلاحيات محدودة، ومراجعة الشيفرات المدمجة بعناية قبل اعتمادها.
