ثغرة حرجة في حزمة مفتوحة المصدر تعرّض ملايين وكلاء الذكاء الاصطناعي للخطر

التكنولوجيا اليومية

التكنولوجيا اليومية

·

27/05/2026

button icon
ADVERTISEMENT

اكتُشفت ثغرة أمنية خطيرة في Starlette، وهو إطار عمل مفتوح المصدر واسع الاستخدام، وقد تؤدي إلى تعريض ملايين وكلاء وأدوات الذكاء الاصطناعي لاختراقات أمنية جسيمة. وتتيح هذه الثغرة، التي أُطلق عليها اسم «BadHost» (CVE-2026-48710)، للمهاجمين الوصول غير المصرح به إلى البيانات الحساسة وبيانات الاعتماد المخزنة على الخوادم المتأثرة.

أبرز النقاط

CVE-2026-48710

تُعد ثغرة BadHost سهلة الاستغلال للغاية، ويمكن أن تكشف البيانات الحساسة وبيانات اعتماد الحسابات لدى الجهات الخارجية عبر بنية الذكاء الاصطناعي المعتمدة على Starlette.

ADVERTISEMENT

شرح الثغرة الأمنية

يُعد Starlette إطار ASGI أساسيًا يساعد تطبيقات Python على التعامل بكفاءة مع كميات كبيرة من الطلبات، وهو ما يجعل هذه الثغرة شديدة الأثر نظرًا إلى مكانته داخل المنظومة التقنية.

🧩

لماذا يُعد Starlette مهمًا في منظومة الذكاء الاصطناعي

تكمن خطورة هذه الثغرة ليس في العيب نفسه فحسب، بل أيضًا في أن Starlette يقع في الطبقة التحتية لعدد من أدوات الذكاء الاصطناعي وPython واسعة الاستخدام.

أساس الإطار

يشكّل Starlette البنية التي يقوم عليها FastAPI، ويؤدي دور طبقة أساسية في خدمات الويب الحديثة المعتمدة على Python.

اتساع نطاق أدوات الذكاء الاصطناعي

تعتمد عليه مشروعات مثل vLLM وLiteLLM، مما يمدد أثر الثغرة إلى وكلاء وأدوات الذكاء الاصطناعي.

مخاطر كشف بيانات الاعتماد

ولأن هذه الأنظمة تتصل بخوادم MCP وخدمات خارجية، فقد يتحول خلل في التوجيه إلى مسار لسرقة بيانات الاعتماد.

ADVERTISEMENT

كيف يمكن للمهاجمين استغلال BadHost

يعتمد الاستغلال على إساءة استخدام الطريقة التي يتعامل بها Starlette مع التوجيه والتفويض عند معالجة ترويسة HTTP Host.

مسار هجوم BadHost

1

إدخال محرف في ترويسة Host

يُجري المهاجم تعديلًا طفيفًا على ترويسة HTTP Host عبر حقن بسيط.

2

تجاوز التفويض المستند إلى المسار

يتسبب هذا الرأس المشوّه في أن يتجاوز منطق التوجيه في Starlette فحوص التفويض المستخدمة في FastAPI والأنظمة ذات الصلة.

3

الوصول إلى الخدمات المتصلة بـ MCP

بعد ذلك، يمكن للمهاجمين الوصول إلى خوادم MCP التي تحتفظ ببيانات اعتماد لقواعد البيانات وحسابات البريد الإلكتروني والتقويمات وغيرها من الموارد المرتبطة.

4

استخراج البيانات الحساسة وبيانات الاعتماد

وتكون النتيجة وصولًا غير مصرح به إلى المعلومات الحساسة وأسرار حسابات الجهات الخارجية.

ADVERTISEMENT

اتساع نطاق التأثير ومستوى الخطورة

يقول الباحثون إن المشكلة تتجاوز إطار عمل واحدًا بكثير، وتمتد إلى شريحة واسعة من منظومة أدوات الذكاء الاصطناعي المبنية على Python.

المنظومة المتأثرة والاستجابة

المجالالتفاصيللماذا يهم
الأدوات المتأثرةvLLM وText Generation Inference وLiteLLM ووكلاء OpenAI-shim proxy وخوادم MCP وأطر تشغيل الوكلاء ولوحات التقييم وواجهات إدارة النماذجيمكن أن تمتد الثغرة عبر مكونات بنية الذكاء الاصطناعي واسعة الاستخدام.
الجدل حول مستوى الخطورةصُنفت في البداية بدرجة 7/10، لكن X41 D-Sec ترى أن المشكلة حرجةقد يكون التقييم الأصلي أقل من مستوى الخطر الحقيقي وقابلية الاستغلال في الواقع.
الإصدارات المتأثرةإصدارات Starlette الأقدم من 1.0.1تظل عمليات النشر الأقدم مكشوفة إلى أن يجري تحديثها.
دعم التخفيف من الأثرأطلقت X41 D-Sec وNemesis أداة فحص عبر الإنترنتيمكن للمؤسسات تحديد الخوادم المعرضة للخطر بسرعة أكبر.
ADVERTISEMENT

ومع أن الإصلاح بات متاحًا الآن في Starlette 1.0.1، فإن حجم الاستخدام في المشاريع التابعة يعني أن كثيرًا من البيئات المنشورة قد تظل مكشوفة إلى أن يُحدّثها القائمون عليها ويتحققوا من سلامتها.

قراءة مقترحة

20-05-2026
Starship V3: الابتكارات التي تقود سباق الفضاء القادم
استكشف التطورات الثورية الثلاثة في Starship V3 من SpaceX: قدرة هائلة على حمل الحمولات، وقابلية سريعة لإعادة الاستخدام، وإمكانات التزوّد بالوقود في المدار.
ADVERTISEMENT
22-05-2026
نظارات Mentra Live الذكية تفتح الطريق أمام المعالجة دون اتصال لتعزيز الخصوصية والأداء
تقدّم نظارات Mentra Live الذكية حزمة تطوير برمجيات جديدة عبر Bluetooth للمعالجة دون اتصال، بما يعزّز الخصوصية والأداء عبر تقليل الاعتماد على السحابة في مهام الرؤية الحاسوبية.
25-05-2026
وصول الخادم الآلي الشبيه بالبشر: رؤية الصين تصطدم بعقبات تقنية
تعلن شركة GigaAI الصينية عن SeeLight S1، وهو روبوت منزلي شبيه بالبشر يعمل كخادم. لكن هل يستطيع تجاوز التحديات التقنية الهائلة التي تفرضها بيئة المنزل الواقعية؟
26-05-2026
الإبحار في الموجة التقنية المقبلة: أبرز التطورات في الذكاء الاصطناعي والروبوتات
استكشف أبرز الاتجاهات في الذكاء الاصطناعي والروبوتات، بما في ذلك نظام تعريف الروبوتات في الصين، وتحديات الذكاء الاصطناعي في خدمة العملاء، والدعوة إلى ذكاء اصطناعي أخلاقي، وتطوير الذكاء الاصطناعي من دون برمجة.
ADVERTISEMENT
27-05-2026
إتاحة الروبوتات للجميع: كيف تغيّر الطباعة ثلاثية الأبعاد والمصادر المفتوحة قواعد اللعبة
اكتشف كيف تُسهم العتاد الميسور التكلفة القابل للطباعة بتقنية ثلاثية الأبعاد، والمنصات مفتوحة المصدر، في إتاحة أبحاث الروبوتات لعدد أكبر من الناس وتسريع تطوير الذكاء الاصطناعي في الواقع العملي.
27-05-2026
ثغرة حرجة في حزمة مفتوحة المصدر تعرّض ملايين وكلاء الذكاء الاصطناعي للخطر
تواجه ملايين وكلاء الذكاء الاصطناعي خطرًا بسبب ثغرة حرجة (CVE-2026-48710، BadHost) في إطار Starlette المفتوح المصدر، تتيح للمهاجمين سرقة البيانات الحساسة وبيانات الاعتماد.
28-05-2026
مصانع سطح المكتب أصبحت واقعًا: صعود آلات الحِرف المتكاملة
استكشف أبرز الاتجاهات التي ترسم ملامح الحِرف المكتبية، بما في ذلك التقنية الهجينة التي تجمع بين الطباعة والقصّ، والأتمتة المدعومة بالذكاء الاصطناعي، والتصميم المعياري، كما يتجلى ذلك في xTool M2.
ADVERTISEMENT
28-05-2026
Sony Bravia 7 II: ابتكار RGB يواجه واقع السوق
تحليل موضوعي لجهاز Sony Bravia 7 II. نقارن تقنية RGB LED التي يعتمدها، وأداءه، وسعره بأجهزة OLED وغيرها من العلامات التجارية الرائدة في السوق.
29-05-2026
تسعى LinkerBot الصينية إلى تزويد كل روبوت بأيدٍ بارعة
اكتشف كيف تُحدث الشركة الصينية الناشئة LinkerBot ثورة في عالم الروبوتات عبر إنتاج أيدٍ بشرية الشكل، بارعة وميسورة التكلفة، مستهدفةً انتشار امتلاك الروبوتات على نطاق واسع وتقييمًا يبلغ 6 مليارات دولار.
29-05-2026
روبوت صيني جديد بعجلات ينضم إلى سباق الروبوتات الشبيهة بالبشر، مزودًا بقدرات على أداء المهام الدقيقة
تعرّف إلى أحدث روبوت صيني بعجلات، يبلغ سعره 14,000 دولار، ومصمم لأداء المهام الدقيقة، وإلى دوره في تصاعد التنافس التكنولوجي بين الولايات المتحدة والصين على الهيمنة في مجال الروبوتات.
ADVERTISEMENT