ثغرة حرجة في حزمة مفتوحة المصدر تعرّض ملايين وكلاء الذكاء الاصطناعي للخطر

السيارة اليومية

السيارة اليومية

·

27/05/2026

button icon
ADVERTISEMENT

اكتُشفت ثغرة أمنية خطيرة في Starlette، وهو إطار عمل مفتوح المصدر واسع الاستخدام، وقد تؤدي إلى تعريض ملايين وكلاء وأدوات الذكاء الاصطناعي لاختراقات أمنية جسيمة. وتتيح هذه الثغرة، التي أُطلق عليها اسم «BadHost» (CVE-2026-48710)، للمهاجمين الوصول غير المصرح به إلى البيانات الحساسة وبيانات الاعتماد المخزنة على الخوادم المتأثرة.

أبرز النقاط

CVE-2026-48710

تُعد ثغرة BadHost سهلة الاستغلال للغاية، ويمكن أن تكشف البيانات الحساسة وبيانات اعتماد الحسابات لدى الجهات الخارجية عبر بنية الذكاء الاصطناعي المعتمدة على Starlette.

ADVERTISEMENT

شرح الثغرة الأمنية

يُعد Starlette إطار ASGI أساسيًا يساعد تطبيقات Python على التعامل بكفاءة مع كميات كبيرة من الطلبات، وهو ما يجعل هذه الثغرة شديدة الأثر نظرًا إلى مكانته داخل المنظومة التقنية.

🧩

لماذا يُعد Starlette مهمًا في منظومة الذكاء الاصطناعي

تكمن خطورة هذه الثغرة ليس في العيب نفسه فحسب، بل أيضًا في أن Starlette يقع في الطبقة التحتية لعدد من أدوات الذكاء الاصطناعي وPython واسعة الاستخدام.

أساس الإطار

يشكّل Starlette البنية التي يقوم عليها FastAPI، ويؤدي دور طبقة أساسية في خدمات الويب الحديثة المعتمدة على Python.

اتساع نطاق أدوات الذكاء الاصطناعي

تعتمد عليه مشروعات مثل vLLM وLiteLLM، مما يمدد أثر الثغرة إلى وكلاء وأدوات الذكاء الاصطناعي.

مخاطر كشف بيانات الاعتماد

ولأن هذه الأنظمة تتصل بخوادم MCP وخدمات خارجية، فقد يتحول خلل في التوجيه إلى مسار لسرقة بيانات الاعتماد.

ADVERTISEMENT

كيف يمكن للمهاجمين استغلال BadHost

يعتمد الاستغلال على إساءة استخدام الطريقة التي يتعامل بها Starlette مع التوجيه والتفويض عند معالجة ترويسة HTTP Host.

مسار هجوم BadHost

1

إدخال محرف في ترويسة Host

يُجري المهاجم تعديلًا طفيفًا على ترويسة HTTP Host عبر حقن بسيط.

2

تجاوز التفويض المستند إلى المسار

يتسبب هذا الرأس المشوّه في أن يتجاوز منطق التوجيه في Starlette فحوص التفويض المستخدمة في FastAPI والأنظمة ذات الصلة.

3

الوصول إلى الخدمات المتصلة بـ MCP

بعد ذلك، يمكن للمهاجمين الوصول إلى خوادم MCP التي تحتفظ ببيانات اعتماد لقواعد البيانات وحسابات البريد الإلكتروني والتقويمات وغيرها من الموارد المرتبطة.

4

استخراج البيانات الحساسة وبيانات الاعتماد

وتكون النتيجة وصولًا غير مصرح به إلى المعلومات الحساسة وأسرار حسابات الجهات الخارجية.

ADVERTISEMENT

اتساع نطاق التأثير ومستوى الخطورة

يقول الباحثون إن المشكلة تتجاوز إطار عمل واحدًا بكثير، وتمتد إلى شريحة واسعة من منظومة أدوات الذكاء الاصطناعي المبنية على Python.

المنظومة المتأثرة والاستجابة

المجالالتفاصيللماذا يهم
الأدوات المتأثرةvLLM وText Generation Inference وLiteLLM ووكلاء OpenAI-shim proxy وخوادم MCP وأطر تشغيل الوكلاء ولوحات التقييم وواجهات إدارة النماذجيمكن أن تمتد الثغرة عبر مكونات بنية الذكاء الاصطناعي واسعة الاستخدام.
الجدل حول مستوى الخطورةصُنفت في البداية بدرجة 7/10، لكن X41 D-Sec ترى أن المشكلة حرجةقد يكون التقييم الأصلي أقل من مستوى الخطر الحقيقي وقابلية الاستغلال في الواقع.
الإصدارات المتأثرةإصدارات Starlette الأقدم من 1.0.1تظل عمليات النشر الأقدم مكشوفة إلى أن يجري تحديثها.
دعم التخفيف من الأثرأطلقت X41 D-Sec وNemesis أداة فحص عبر الإنترنتيمكن للمؤسسات تحديد الخوادم المعرضة للخطر بسرعة أكبر.
ADVERTISEMENT

ومع أن الإصلاح بات متاحًا الآن في Starlette 1.0.1، فإن حجم الاستخدام في المشاريع التابعة يعني أن كثيرًا من البيئات المنشورة قد تظل مكشوفة إلى أن يُحدّثها القائمون عليها ويتحققوا من سلامتها.

قراءة مقترحة

22-05-2026
VinFast VF 8 تخضع لتحوّل مفاجئ: أصغر حجماً وأبطأ وأكثر ميسورية
تطرح VinFast الجيل الثاني من سيارتها الرياضية متعددة الاستخدامات الكهربائية VF 8 في فيتنام، بهيكل أصغر وبطارية أقل سعة وقوة أدنى وسعر أكثر ميسورية.
ADVERTISEMENT
22-05-2026
Fiat Grizzly تستهدف الفئة C بطرازين جديدين: سيارة رياضية متعددة الاستخدامات وفاستباك
تدخل Fiat الفئة C مع Grizzly الجديدة، وهي سيارة عائلية ميسورة التكلفة تتوافر بهيئتي سيارة رياضية متعددة الاستخدامات وفاستباك. تعرّف إلى منصتها وخيارات منظومات الدفع ومنافسيها في السوق مثل Dacia Duster.
22-05-2026
Tata Tiago بملامحها المحدّثة: ما المتوقع من الهاتشباك المطوّرة
تعرّف إلى تحليل متخصص لسيارة Tata Tiago المحدّثة. اكتشف تصميمها الجديد المستوحى من الطراز الأوروبي، ومزايا المقصورة المطوّرة، وتعزيزات السلامة، وموقعها في السوق.
26-05-2026
Suzuki Jimny XL Rhino Edition: جاذبية متينة بتصميم فريد
تطلق Suzuki إصدار Jimny XL Rhino Special Edition في أستراليا، مضيفةً لمسات تصميمية فريدة وعملية على الطرق الوعرة إلى تشكيلتها الشهيرة من سيارات SUV ذات الأبواب الخمسة.
ADVERTISEMENT
26-05-2026
ارتفاع أسعار البنزين يجعل Honda CR-V Hybrid تؤتي ثمارها أسرع من أي وقت مضى
أدّت أسعار الوقود المتزايدة إلى تقليص مسافة التعادل لسيارة Honda CR-V Hybrid بشكل كبير. ويُظهر تحليل جديد أن ارتفاع تكاليف البنزين في مايو يتيح للمالكين استرداد فرق سعر النسخة الهجينة بسرعة أكبر بكثير مقارنة ببداية عام 2026.
27-05-2026
Ferrari Luce: نظرة معمّقة على أول حصان جامح كهربائي
تعرّف إلى المواصفات الرسمية لسيارة Ferrari Luce الكهربائية بالكامل. اكتشف قوتها البالغة 1,036 حصانًا بخاريًا، ومداها الذي يصل إلى 529 كيلومترًا، وتصميمها بقيادة جوني آيف، وكيف تقارن بالطرازات الأخرى.
27-05-2026
BYD Dolphin G: أسئلة وأجوبة متخصصة
أسئلة وأجوبة من خبير حول BYD Dolphin G الجديدة. تعرّف إلى تقنيتها الهجينة القابلة للشحن، ومداها البالغ نحو 1,000 كيلومتر، وكيف تتحدى منافسات مثل Clio وPolo في المملكة المتحدة.
ADVERTISEMENT
28-05-2026
لكزس ES 2026: نظرة معمّقة على الطرازين الهجين والكهربائي الجديدين
استكشف لكزس ES 2026 الجديدة كليًا. تتناول مراجعتنا المتخصصة الطرازين الهجين والكهربائي الجديدين، ومواصفات الأداء، والأسعار، وكيفية مقارنتها بمنافسيها.
29-05-2026
GMC تكشف عن نماذج Hummer X EV متوسطة الحجم: لمحة عن تصميم المستقبل والاستدامة
تعرّف إلى نماذج Hummer X EV متوسطة الحجم المبتكرة من GMC، التي تتميز بشاشات قابلة للتكديس وتصميم مستدام وطابع معياري، وقد طُوّرت في استوديو التصميم المتقدم الجديد التابع لـ GM.
01-06-2026
رؤية مصمّم: تحية عصرية لسيارة Corvette تجسّد روح الكلاسيكيات
استكشف تصوّراً مذهلاً لسيارة Corvette من إبداع مصمّم Jaguar جيسون باترزبي، يعيد إحياء ملامح Stingray الكلاسيكية من جيلي C2 وC3 بلمسات تصميمية ومواد عصرية.
ADVERTISEMENT