العيوب الحرجة في التقنية الأساسية لوكيل الذكاء الاصطناعي: تحذير من ثغرة LangChain'LangGrinch'

2025-12-26 01:30:50

إنشاء الملخص قيد التقدم

المصدر: TokenPost العنوان الأصلي: عيب قاتل في التقنية الأساسية لوكلاء الذكاء الاصطناعي… تحذير من LangChain ‘LangGrinch’ الرابط الأصلي: تم اكتشاف وجود ثغرة أمنية خطيرة في المكتبة الأساسية لوكلاء الذكاء الاصطناعي (langchain-core). تم تسمية المشكلة بـ ‘LangGrinch’، وتسمح للمهاجمين بسرقة معلومات حساسة من نظام الذكاء الاصطناعي. قد تؤدي هذه الثغرة إلى زعزعة الأساس الأمني للعديد من تطبيقات الذكاء الاصطناعي على المدى الطويل، مما أثار يقظة الصناعة بأكملها.

شركة الأمن الناشئة Cyata Security كشفت عن هذه الثغرة كـ CVE-2025-68664 ومنحتها تصنيف خطورة 9.3 في نظام تقييم الثغرات الموحد (CVSS). المشكلة الأساسية تكمن في أن الوظائف المساعدة الداخلية الموجودة في نواة LangChain قد تعتبر مدخلات المستخدم ككائنات موثوقة أثناء التسلسل وفك التسلسل. يمكن للمهاجمين استغلال تقنية ‘حقن الموجهات(prompt injection)’ لإدخال مفاتيح العلامات الداخلية في المخرجات الهيكلية التي يتم إنشاؤها بواسطة الوكيل، مما يجعلها تُعامل لاحقًا ككائنات موثوقة.

تلعب نواة LangChain دورًا حيويًا في العديد من أطر عمل الوكلاء الذكاء الاصطناعي، حيث تم تحميلها مئات الملايين من المرات خلال الثلاثين يومًا الماضية، بإجمالي أكثر من 8.47 مليار تحميل. وبالنظر إلى نظام بيئة LangChain بالكامل وتطبيقاته المرتبطة، فإن نطاق تأثير هذه الثغرة واسع جدًا.

قال ياردن فورّات، الباحث الأمني في Cyata: “هذه الثغرة ليست مجرد مشكلة في فك التسلسل، بل تحدث في مسار التسلسل نفسه، وهو أمر غير معتاد. إن تخزين، ونقل، واستعادة البيانات الهيكلية الناتجة عن موجهات الذكاء الاصطناعي يفتح وجهة هجوم جديدة.” وأكدت Cyata وجود 12 مسار هجوم واضح يمكن أن تتطور من خلاله سيناريوهات متعددة من موجه واحد.

عند تفعيل الهجوم، يمكن أن يؤدي طلب HTTP عن بعد إلى تسرب كامل لمتغيرات البيئة، بما في ذلك بيانات الاعتماد السحابية، عناوين URL للوصول إلى قواعد البيانات، معلومات قواعد البيانات الشعاعية، ومفاتيح API لنماذج اللغة الكبيرة (LLM). والأهم من ذلك، أن هذه الثغرة هي خلل هيكلي ناتج فقط عن نواة LangChain نفسها، ولا تتعلق بأدوات طرف ثالث أو تكامل خارجي. أطلقت Cyata على ذلك “تهديد في طبقة أنابيب النظام البيئي”، معبرة عن درجة عالية من الحذر.

تم إصدار تصحيحات أمنية لمعالجة المشكلة بشكل منفصل في إصداري نواة LangChain 1.2.5 و0.3.81. قبل نشرها علنًا، أبلغت Cyata فريق تشغيل LangChain مسبقًا، الذي اتخذ إجراءات فورية وطبق خطة تعزيز أمني طويلة الأمد.

قال شاحار تال، المؤسس المشارك والرئيس التنفيذي لـ Cyata: “مع بدء نشر أنظمة الذكاء الاصطناعي على نطاق واسع في مواقع الصناعة، أصبحت صلاحيات النظام ونطاق صلاحياته مسألة أمنية جوهرية، تتجاوز تنفيذ الكود نفسه. في بنية معرفات الوكيل، أصبح تقليل الصلاحيات وتقليل نطاق التأثير عناصر تصميم ضرورية.”

هذه الحادثة ستشكل فرصة للتفكير في الصناعة، وتدفع لإعادة تقييم أساسيات التصميم الأمني في صناعة الذكاء الاصطناعي، خاصة مع تزايد الاعتماد على الأتمتة الوكيلية التي تحل تدريجيًا محل التدخل البشري.

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.

تسجيلات الإعجاب 11

أعجبني
11
6
إعادة النشر
مشاركة

تعليق

0/400

ColdWalletGuardian

· منذ 7 س

هل هناك ثغرة كبيرة أخرى؟ هل LangChain يتعمد المخاطرة بحياته؟ هل لا زال يريدنا أن نستمر في استخدامه؟

شاهد النسخة الأصليةرد0

ForeverBuyingDips

· منذ 7 س

مرة أخرى هناك فخ كبير، هذه الموجة من LangChain حقًا لا يمكن تحملها هل انفجرت مشكلة أخرى في LangChain؟ سرقة المعلومات الحساسة بسهولة، من يستخدمها يعاني إذا لم يتم إصلاح هذا الثغرة، كم من المشاريع ستحتاج إلى إعادة هيكلة... أشعر أن البنية التحتية لـ Web3 كلها قنابل زمنية، كل يوم مفاجأة LangGrinch تسمع عنها وتشعر بأنها شريرة، إنها إيقاع يتطلب تعديل الكود في منتصف الليل

شاهد النسخة الأصليةرد0

RektButAlive

· منذ 7 س

تبا لشانغتشين، LangChain مرة أخرى تواجه مشكلة، وهذه المرة تظهر "LangGrinch" مباشرة... هل يمكنه سرقة المعلومات الحساسة؟ أليس هذا بمثابة باب خلفي للهاكرز؟

شاهد النسخة الأصليةرد0

WalletDetective

· منذ 7 س

هل مرة أخرى تحذير من ثغرة أمنية؟ هل LangChain فشل هذه المرة، سرقة المعلومات الحساسة شيء يجب أن ينفجر عند أي شخص --- اسم LangGrinch لافت للنظر، لكنه يحتاج إلى تأكيد رسمي، هل هو حقيقي أم لا --- يا إلهي، كل مكتبة من هذه المكتبات أضعف من الأخرى، كيف لا يزال هناك من يجرؤ على استخدام AI Agent على نطاق واسع --- لا نعرف مدى موثوقية التحذير الذي أصدرته Cyata، ولكن إذا كانت الثغرة موجودة فعلاً، فيجب إصلاحها بسرعة --- يبدو أن قضايا أمان Web3 و AI لن تواكب أبداً سرعة حدوث المخاطر…… --- كيف لا يزال هناك ثغرات ابتدائية في LangChain، أليس هذا إحراجاً --- هل القطاع بأكمله يقظ؟ أعتقد أن معظم الناس لم يهتموا على الإطلاق، هاها --- مرة أخرى عبارات مثل "تذبذب طويل الأمد" و"معلومات حساسة"، هل أحد تعرض لها من قبل أو لا

شاهد النسخة الأصليةرد0

GasFeeTherapist

· منذ 7 س

مكتبة أساسية أخرى تواجه مشكلة، LangChain هذه المرة حقًا أصبحت غير معقولة... بسرعة تحقق من مشروعك إذا كان قد تأثر

شاهد النسخة الأصليةرد0

MentalWealthHarvester

· منذ 7 س

واو، هل هناك ثغرة أخرى في LangChain؟ هل لا زال يمكن استخدامه... --- LangGrinch... اختيار اسم غريب جدًا، كم ستكون خطورة الثغرة؟ --- هل هذا صحيح، هل يمكن سرقة المعلومات الحساسة؟ إذاً بياناتنا... --- مرة أخرى مشكلة أمنية، هكذا Web3، يملأ الثغرات يوميًا --- Cyata حصلت على خبر كبير هذه المرة، وستشعل موجة جديدة من الشهرة --- مضحك جدًا، اخترت اسمًا يشبه سانتا كلوز، والنتيجة سرقة بياناتنا --- هل لا زال هناك مكتبات ذكاء اصطناعي آمنة الآن؟ لا أصدق ذلك --- إذا استغل الهاكرز هذه الثغرة، ستكون العواقب لا يمكن تصورها --- ها قد عاد مرة أخرى، كل مرة يقولون "قد تتزعزع على المدى الطويل"، وماذا بعد؟ --- يجب على LangChain أن يصلح بسرعة، وإلا فإن المستخدمين سيتضررون

شاهد النسخة الأصليةرد0