ثغرة حرجة في حزمة مفتوحة المصدر تعرّض ملايين وكلاء الذكاء الاصطناعي للخطر

السيارة اليومية

·

27/05/2026

ADVERTISEMENT

اكتُشفت ثغرة أمنية خطيرة في Starlette، وهو إطار عمل مفتوح المصدر واسع الاستخدام، وقد تؤدي إلى تعريض ملايين وكلاء وأدوات الذكاء الاصطناعي لاختراقات أمنية جسيمة. وتتيح هذه الثغرة، التي أُطلق عليها اسم «BadHost» (CVE-2026-48710)، للمهاجمين الوصول غير المصرح به إلى البيانات الحساسة وبيانات الاعتماد المخزنة على الخوادم المتأثرة.

أبرز النقاط

CVE-2026-48710

تُعد ثغرة BadHost سهلة الاستغلال للغاية، ويمكن أن تكشف البيانات الحساسة وبيانات اعتماد الحسابات لدى الجهات الخارجية عبر بنية الذكاء الاصطناعي المعتمدة على Starlette.

تؤثر ثغرة حرجة تحمل المعرّف CVE-2026-48710 (BadHost) في إطار العمل المفتوح المصدر Starlette.
يمكن أن تؤدي هذه الثغرة إلى وصول غير مصرح به إلى البيانات الحساسة وبيانات اعتماد حسابات الجهات الخارجية.
قد تكون ملايين وكلاء وأدوات الذكاء الاصطناعي التي تعتمد على Starlette، بما في ذلك تلك المبنية باستخدام FastAPI وvLLM وLiteLLM، عرضة للخطر.
وُصفت الثغرة بأنها سهلة الاستغلال للغاية، ولها تصنيف خطورة حرج.

ADVERTISEMENT

شرح الثغرة الأمنية

يُعد Starlette إطار ASGI أساسيًا يساعد تطبيقات Python على التعامل بكفاءة مع كميات كبيرة من الطلبات، وهو ما يجعل هذه الثغرة شديدة الأثر نظرًا إلى مكانته داخل المنظومة التقنية.

🧩

لماذا يُعد Starlette مهمًا في منظومة الذكاء الاصطناعي

تكمن خطورة هذه الثغرة ليس في العيب نفسه فحسب، بل أيضًا في أن Starlette يقع في الطبقة التحتية لعدد من أدوات الذكاء الاصطناعي وPython واسعة الاستخدام.

أساس الإطار

يشكّل Starlette البنية التي يقوم عليها FastAPI، ويؤدي دور طبقة أساسية في خدمات الويب الحديثة المعتمدة على Python.

اتساع نطاق أدوات الذكاء الاصطناعي

تعتمد عليه مشروعات مثل vLLM وLiteLLM، مما يمدد أثر الثغرة إلى وكلاء وأدوات الذكاء الاصطناعي.

مخاطر كشف بيانات الاعتماد

ولأن هذه الأنظمة تتصل بخوادم MCP وخدمات خارجية، فقد يتحول خلل في التوجيه إلى مسار لسرقة بيانات الاعتماد.

ADVERTISEMENT

كيف يمكن للمهاجمين استغلال BadHost

يعتمد الاستغلال على إساءة استخدام الطريقة التي يتعامل بها Starlette مع التوجيه والتفويض عند معالجة ترويسة HTTP Host.

مسار هجوم BadHost

1

إدخال محرف في ترويسة Host

يُجري المهاجم تعديلًا طفيفًا على ترويسة HTTP Host عبر حقن بسيط.

2

تجاوز التفويض المستند إلى المسار

يتسبب هذا الرأس المشوّه في أن يتجاوز منطق التوجيه في Starlette فحوص التفويض المستخدمة في FastAPI والأنظمة ذات الصلة.

3

الوصول إلى الخدمات المتصلة بـ MCP

بعد ذلك، يمكن للمهاجمين الوصول إلى خوادم MCP التي تحتفظ ببيانات اعتماد لقواعد البيانات وحسابات البريد الإلكتروني والتقويمات وغيرها من الموارد المرتبطة.

4

استخراج البيانات الحساسة وبيانات الاعتماد

وتكون النتيجة وصولًا غير مصرح به إلى المعلومات الحساسة وأسرار حسابات الجهات الخارجية.

ADVERTISEMENT

اتساع نطاق التأثير ومستوى الخطورة

يقول الباحثون إن المشكلة تتجاوز إطار عمل واحدًا بكثير، وتمتد إلى شريحة واسعة من منظومة أدوات الذكاء الاصطناعي المبنية على Python.

المنظومة المتأثرة والاستجابة

المجال	التفاصيل	لماذا يهم
الأدوات المتأثرة	vLLM وText Generation Inference وLiteLLM ووكلاء OpenAI-shim proxy وخوادم MCP وأطر تشغيل الوكلاء ولوحات التقييم وواجهات إدارة النماذج	يمكن أن تمتد الثغرة عبر مكونات بنية الذكاء الاصطناعي واسعة الاستخدام.
الجدل حول مستوى الخطورة	صُنفت في البداية بدرجة 7/10، لكن X41 D-Sec ترى أن المشكلة حرجة	قد يكون التقييم الأصلي أقل من مستوى الخطر الحقيقي وقابلية الاستغلال في الواقع.
الإصدارات المتأثرة	إصدارات Starlette الأقدم من 1.0.1	تظل عمليات النشر الأقدم مكشوفة إلى أن يجري تحديثها.
دعم التخفيف من الأثر	أطلقت X41 D-Sec وNemesis أداة فحص عبر الإنترنت	يمكن للمؤسسات تحديد الخوادم المعرضة للخطر بسرعة أكبر.

ADVERTISEMENT

ومع أن الإصلاح بات متاحًا الآن في Starlette 1.0.1، فإن حجم الاستخدام في المشاريع التابعة يعني أن كثيرًا من البيئات المنشورة قد تظل مكشوفة إلى أن يُحدّثها القائمون عليها ويتحققوا من سلامتها.

قراءة مقترحة

Suzuki Jimny XL Rhino Edition: جاذبية متينة بتصميم فريد

تطلق Suzuki إصدار Jimny XL Rhino Special Edition في أستراليا، مضيفةً لمسات تصميمية فريدة وعملية على الطرق الوعرة إلى تشكيلتها الشهيرة من سيارات SUV ذات الأبواب الخمسة.

ADVERTISEMENT

BMW تحتفي بسباق TT في جزيرة مان بدراجة M 1000 RR سوبر بايك محدودة الإصدار

تحتفي BMW بالنسخة الـ115 من سباق TT في جزيرة مان عبر طرح M 1000 RR محدودة الإصدار. تعرّف إلى مواصفاتها وتصميمها الفريد باللون الأخضر البريطاني المخصص للسباقات، وموقعها في السوق.

ارتفاع أسعار البنزين يجعل Honda CR-V Hybrid تؤتي ثمارها أسرع من أي وقت مضى

أدّت أسعار الوقود المتزايدة إلى تقليص مسافة التعادل لسيارة Honda CR-V Hybrid بشكل كبير. ويُظهر تحليل جديد أن ارتفاع تكاليف البنزين في مايو يتيح للمالكين استرداد فرق سعر النسخة الهجينة بسرعة أكبر بكثير مقارنة ببداية عام 2026.

عودة Lancia Gamma كسيارة كروس أوفر فاستباك

تعيد Lancia إحياء Gamma بوصفها سيارة كروس أوفر أنيقة بتصميم فاستباك، مع خيارات هجينة وكهربائية بالكامل. تعرّف إلى مواصفاتها وتصميمها وموقعها في السوق قبل ظهورها الأول في باريس.

ADVERTISEMENT

BYD Shark 6: إعادة صياغة توقعات فئة البيك أب متوسطة الحجم

اكتشف مواصفات BYD Shark 6، وقدرتها على القطر، وأبرز تقنياتها، وكيف تنافس أبرز شاحنات البيك أب في السوق الأسترالية.

رصد Skoda Kodiaq المحدّثة: شائعات عن قوة أكبر لطراز RS

تكشف صور تجسسية عن Skoda Kodiaq المقبلة بتحديثات منتصف العمر، مع تصميم محدّث وشائعات عن طراز Kodiaq RS تتجاوز قوته 300 حصان.

Rezvani تكشف عن Fortress: نسخة مصفحة بقوة 850 حصانًا من F-150 Raptor لمواجهة نهاية العالم

تعرّف إلى Rezvani Fortress، التحويل الجذري لسيارة Ford F-150 Raptor، بقدرات هائلة للقيادة خارج الطرقات، وخيار التدريع، وقوة تصل إلى 850 حصانًا. اكتشف تصميمها الفريد ومزاياها الحصرية.

ADVERTISEMENT

تحديث Mitsuoka Viewt Story لعام 2026: تصميم كلاسيكي يلتقي بالتقنيات الحديثة

يحدّث طراز Mitsuoka Viewt Story لعام 2026 تصميمه الكلاسيكي المستوحى من جاكوار بتقنيات تويوتا ياريس الحديثة، إلى جانب منظومات دفع معدّلة وميزات سلامة محسّنة.

BMW تعزّز تشكيلتها الصيفية بمدى أطول لـ iX3 وحزمة سوداء جديدة

تعلن BMW عن تحديثات صيفية تشمل نسخة أساسية جديدة من iX3 بمدى يبلغ 636 كيلومترًا، وحزمة سوداء ذات طابع رياضي لطرازات مختارة من M Performance.

سيارة AC Cobra Coupé الجديدة: شرح أسطورة عصرية

تعرّف إلى التحليل الخبير لسيارة AC Cobra Coupé الجديدة. اكتشف مواصفاتها، من محرك V8 بقوة 799 حصاناً بخارياً إلى هيكلها المصنوع من ألياف الكربون، وما يعنيه ذلك للعلامة البريطانية الأيقونية.

ADVERTISEMENT