تفاصيل الثغرات المبلغ عنها (CVE-2025-2439 إلى CVE-2025-2447)

وفقًا لشركة Snyk المتخصصة في الأمن السيبراني، تضمنت هذه الثغرات:

1. غياب حماية CSRF لنقاط الوصول التي تُحدث تغييرات في النظام، مما يسمح بتنفيذ هجمات تزوير الطلبات عبر المواقع.

2. ثغرة حقن الأوامر (Command Injection)، التي تمكن المهاجم من تنفيذ تعليمات ضارة على الخادم المُستضاف ذاتيًا.

3. إمكانية استغلال هذه الثغرات لشن هجمات “درايف-باي” (Drive-By Attacks) ضد مطوري نماذج الذكاء الاصطناعي، أو حتى السيطرة الكاملة على الخادم.

الاستجابة والإصلاحات

قامت Menlo Research، الشركة المطورة لـ “جان AI”، بإصدار تحديثات أمنية عاجلة لمعالجة هذه الثغرات. ونُصح جميع المستخدمين، وخاصة من يعتمدون على النسخ المُستضافة ذاتيًا، بتحديث أنظمتهم فورًا لتجنب أي مخاطر محتملة.

لماذا يُعد هذا الخبر مهمًا؟

• “جان AI” منصّة شائعة بين مطوري الذكاء الاصطناعي بسبب قدرتها على العمل بدون اتصال بالإنترنت، مما يجعلها خيارًا للذين يفضلون الخصوصية.

• هذه الثغرات تُظهر أهمية اختبار الأمان الدوري للتطبيقات المعتمدة على نماذج اللغة الكبيرة (LLMs)، خاصة مع تزايد الهجمات على البنى التحتية للذكاء الاصطناعي.

نصائح أمنية للمستخدمين

• تحديث البرنامج إلى أحدث إصدار.

• مراجعة إعدادات الخادم والتأكد من تفعيل طبقات الحماية مثل جدران الحماية (Firewalls).

• مراقبة النشاط غير المعتاد على الخوادم ذاتية الاستضافة.

يُذكر أن مثل هذه الاكتشافات تؤكد على الحاجة إلى تعاون دائم بين الباحثين الأمنيين ومطوري الذكاء الاصطناعي لضمان بيئة أكثر أمانًا في ظل التطور السريع لهذه التقنيات.