يُعد LiteLLM واحدًا من أكثر البوابات مفتوحة المصدر انتشارًا في عالم الذكاء الاصطناعي، إذ يوفّر واجهة متوافقة مع OpenAI للتواصل مع أكثر من 100 مزوّد نماذج. هذه البوابة تعمل كنقطة ارتكاز بين المستخدمين ومزوّدي الخدمات، ما يجعلها هدفًا مغريًا للهجمات السيبرانية. أي اختراق لخادم LiteLLM يعني كشف مفاتيح الوصول، بيانات الاعتماد المشفّرة، وكافة الطلبات والاستجابات التي تمر عبره، بما في ذلك معلومات حساسة مثل الشيفرات المصدرية أو البيانات الشخصية.
تفاصيل سلسلة الثغرات المكتشفة
كشف باحثو Obsidian Security عن سلسلة من ثلاث ثغرات مترابطة تسمح لمستخدم داخلي محدود الصلاحيات بالتصعيد إلى مستوى مدير النظام وتنفيذ أوامر على الخادم. وقد صنّفت هذه السلسلة بدرجة خطورة CVSS 9.9:
- CVE-2026-47101: تجاوز صلاحيات عبر خاصية allowed_routes التي تُخزّن دون تحقق، ما يتيح للمستخدم إنشاء مفاتيح وصول بامتيازات شاملة باستخدام الرمز البريدي “/*”.
- CVE-2026-47102: تصعيد صلاحيات عبر نقطة /user/update التي تسمح بتعديل الدور الوظيفي للمستخدم ليصبح “proxy_admin” دون قيود.
- CVE-2026-40217: هروب من صندوق الحماية في ميزة Custom Code Guardrail، حيث يُنفّذ الكود دون فلترة، مما يتيح استدعاء أوامر النظام والحصول على قشرة عكسية (reverse shell).
هذه الثغرات مجتمعة تفتح الباب أمام تنفيذ تعليمات برمجية عن بُعد والسيطرة الكاملة على الخادم.
التأثيرات المحتملة للهجوم
يمثّل LiteLLM نقطة اختناق استراتيجية، ما يعني أن أي اختراق يتيح للمهاجمين الوصول إلى:
- مفاتيح مزوّدي الخدمات مثل OpenAI وAnthropic وGemini وAzure وغيرها.
- بيانات الاعتماد المخزّنة والمشفّرة، والتي يمكن فكّها باستخدام مفاتيح الملح (salt key).
- جميع الطلبات والاستجابات المارة عبر البوابة، بما يشمل معلومات داخلية أو أسرار مؤسسية.
الأخطر من ذلك أن المهاجم لا يكتفي بقراءة البيانات، بل يمكنه إعادة كتابة الاستجابات بين الوكيل والنموذج، ما يسمح بتزوير النتائج أو إدخال تعليمات خبيثة في مسار العمل. وقد أظهر الباحثون مثالًا عمليًا حيث يؤدي إدخال كلمة “hello” فقط إلى فتح قشرة عكسية على جهاز المطوّر.
السياق الأمني والتوصيات
لم تكن هذه المرة الأولى التي يتعرض فيها LiteLLM لأزمات أمنية؛ ففي مارس الماضي تم اختراق سلسلة التوريد عبر إصدارات مزوّرة على PyPI، وفي أبريل استُغلّت ثغرة SQL خطيرة خلال 36 ساعة من إعلانها. هذه الحوادث المتكررة تؤكد أن موقع LiteLLM كوسيط رئيسي يجعله هدفًا دائمًا للهجمات.
التوصيات الأساسية للمؤسسات تشمل:
- الترقية الفورية إلى الإصدار v1.83.14-stable أو أحدث، حيث أُدرجت الإصلاحات الكاملة.
- مراجعة جميع الحسابات التي تحمل دور proxy_admin والتعامل معها كصلاحيات على مستوى الخادم.
- تدقيق إعدادات Custom Code Guardrail والـ callbacks المخفية في ملف config.yaml.
- تدوير مفاتيح المزوّدين وقواعد البيانات وأي رموز OAuth أو MCP مخزّنة في حال الاشتباه بالاختراق.
إن سلسلة الثغرات هذه تكشف عن مشكلة جوهرية في الثقة بين الطبقات: البوابة وثقت بالحقل المرسل من المستخدم، المعالجات وثقت بالبوابة، ولم يقم أحد بالتحقق الفعلي. هذه الثقة المضللة هي ما فتح الباب أمام السيطرة الكاملة على الخادم.
