أعلن باحثو الأمن السيبراني عن ثغرة حرجة في حزمة LiteLLM التابعة لـ BerriAI، وهي بوابة مفتوحة المصدر للذكاء الاصطناعي تحظى بأكثر من 45 ألف نجمة على GitHub. الثغرة المسجلة تحت الرمز CVE-2026-42208 وبدرجة خطورة 9.3 وفق مقياس CVSS، هي حقن SQL (SQL Injection) يمكن استغلاله لتعديل قاعدة بيانات البروكسي الخاصة بـ LiteLLM.
المشكلة تكمن في أن استعلام قاعدة البيانات المستخدم أثناء التحقق من مفاتيح API كان يدمج القيمة المدخلة من المستخدم مباشرة في نص الاستعلام بدلًا من تمريرها كمعامل منفصل، ما يفتح الباب أمام المهاجمين لتنفيذ استعلامات خبيثة.
سرعة الاستغلال وأهداف الهجوم
رغم أن الإصلاح صدر في النسخة 1.83.7-stable بتاريخ 19 أبريل 2026، فقد تم تسجيل أول محاولة استغلال في 26 أبريل، أي بعد نحو 36 ساعة فقط من إدراج التحذير في قاعدة بيانات GitHub.
الهجوم استهدف جداول حساسة مثل litellm_credentials.credential_values وlitellm_config، والتي تحتوي على مفاتيح مقدمي خدمات الذكاء الاصطناعي (مثل OpenAI وAnthropic وAWS Bedrock) وبيانات بيئة التشغيل. اللافت أن المهاجم لم يستهدف جداول المستخدمين أو الفرق، ما يشير إلى معرفة دقيقة بالبنية الداخلية للقاعدة.
خطورة التأثير على البنية السحابية
وفقًا لتحليل Sysdig، فإن صفًا واحدًا في جدول litellm_credentials قد يحتوي على مفتاح مؤسسة OpenAI بحد إنفاق شهري ضخم، أو مفتاح Anthropic بامتيازات إدارية، أو بيانات اعتماد IAM خاصة بـ AWS Bedrock. هذا يعني أن نجاح الهجوم يعادل عمليًا اختراق حساب سحابي كامل وليس مجرد ثغرة تقليدية في تطبيق ويب.
الهجوم تم على مرحلتين باستخدام عناوين IP مختلفة، مع محاولات لقراءة وتعديل البيانات، ما يعكس تخطيطًا متقدمًا من قبل المهاجمين.
توصيات الحماية والدروس المستفادة
ينصح القائمون على LiteLLM المستخدمين بتحديث أنظمتهم فورًا إلى النسخة الأخيرة، أو على الأقل تفعيل خيار disable_error_logs: true في الإعدادات العامة لتقليل مسار الاستغلال.
هذه الحادثة تؤكد أن الثغرات في مشاريع مفتوحة المصدر ذات شعبية عالية تصبح أهدافًا فورية للمهاجمين، وأن نافذة الاستغلال تتقلص بشكل كبير، حيث لم يعد المهاجمون ينتظرون نشر أدوات إثبات المفهوم (PoC)، بل يعتمدون على المعلومات الواردة في التحذيرات الرسمية والمخططات المفتوحة المصدر.
