الصفحة الرئيسية
الأخبار
التفاصيل

ثغرة في Starlette تعرّض ملايين وكلاء الذكاء الاصطناعي للقراصنة

iconCryptoBriefing
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
تحذر وكالات CFT من مخاطر جديدة بسبب ثغرة حرجة في Starlette، CVE-2026-48710، التي تؤثر على ملايين وكلاء وخدمات الذكاء الاصطناعي. يمكن للمهاجمين استغلال ثغرة 'BadHost' عن طريق تعديل رؤوس HTTP للوصول إلى نقاط النهاية الآمنة. يُستخدم Starlette على نطاق واسع عبر إطارات عمل مثل FastAPI وLiteLLM، مع 325 مليون تنزيل أسبوعي. يمكن لهذه الثغرة تعطيل السيولة والأسواق الرقمية إذا تم استغلالها على نطاق واسع. توفر التصحيحات من الإصدار 1.0.1، وأداة فحص مجانية متاحة على badhost.org.

ثغرة أمنية حرجة في أحد أكثر إطارات عمل ويب بايثون استخدامًا ترك ملايين وكلاء الذكاء الاصطناعي وأدوات التعلم الآلي والخدمات الإنتاجية عرضة لهجمات المهاجمين غير الموثوقين. هذه الثغرة، التي تُتبع تحت رقم CVE-2026-48710 وتُعرف باسم "BadHost"، تؤثر على Starlette، وهو إطار عمل مفتوح المصدر يحصل على 325 مليون تنزيل أسبوعيًا.

هذا ليس خطأ إملائيًا. 325 مليون. كل أسبوع. وبما أن Starlette تُعد الأساس لـ FastAPI ومنظومة واسعة من مشاريع Python المتماثلة، فإن نطاق التأثير يمتد بعيدًا超越 مكتبة واحدة.

ما الذي يفعله BadHost فعليًا

تُعيد Starlette إعادة بناء عنوان URL للطلب من خلال أخذ رأس HTTP Host، والذي يمكن للمهاجم التلاعب به بحرية، ثم دمجه مع مسار الطلب قبل إعادة تحليل النتيجة. لا يقوم الإطار أبدًا بالتحقق من رأس Host أولاً.

إعلان

من خلال إدخال أحرف معينة مثل / أو ? أو # في رأس Host، يمكن للمهاجم تغيير مكان حدود المسار في عنوان URL المُعاد بناؤه. وهذا يسمح له بتجاوز أي وسطي يعتمد على فحوصات المصادقة القائمة على المسار. لا حاجة إلى أي بيانات اعتماد. لا حاجة إلى سلسلة استغلال معقدة. فقط رأس HTTP مُصمم خصيصًا.

النتيجة هي تجاوز كامل للمصادقة على التطبيقات المتأثرة. يمكن للمهاجمين الذين يستغلون BadHost الوصول إلى نقاط النهاية المحمية، و الوصول إلى البيانات الحساسة، وسرقة بيانات الاعتماد الخاصة بخدمات طرف ثالث متصلة بالتطبيق المعرض للخطر.

مشكلة البنية التحتية للذكاء الاصطناعي

ما يجعل هذا مقلقًا بشكل خاص هو قائمة المشاريع التالية التي تعتمد على Starlette. FastAPI، أحد أكثر الإطارات شيوعًا لبناء خدمات الويب باللغة Python، يعمل فوقه. كما تعمل عليه vLLM وLiteLLM، وهما إطاران واسعا الانتشار لتقديم نماذج اللغة الكبيرة في بيئات الإنتاج. كما أن خوادم MCP، البنية التحتية لبروتوكول سياق النموذج التي تمكّن أدوات وكلاء الذكاء الاصطناعي، متأثرة أيضًا. آلاف المشاريع مفتوحة المصدر تتطلب Starlette للعمل، مما يخلق شبكة ضخمة من التبعيات غير المباشرة حيث تنتشر ثغرة واحدة بشكل متسلسل.

تؤثر هذه الثغرة على جميع إصدارات Starlette السابقة على 1.0.1. تم إصدار تصحيحات بدءًا من هذا الإصدار، ويتاح ماسح مجاني لتحديد التطبيقات المتأثرة على badhost.org.

نمط، وليس شذوذًا

لم يظهر BadHost في فراغ. يأتي الكشف عن هذا الخلل وسط موجة متزايدة من قضايا الأمان التي تضرب أطر عمل وكلاء الذكاء الاصطناعي على مدار عامي 2025 و2026، بما في ذلك هجمات حقن الأوامر وثغرات تنفيذ التعليمات البرمجية عن بُعد.

قد لا يستورد مشروع Starlette مباشرة، لكنه لا يزال عرضة للخطر لأن أحد مكوناته المعتمدة يفعل ذلك.

ما يعنيه ذلك للمستثمرين

التأثير الفوري هو تشغيلي. تحتاج الفرق التي تدير عوامل الذكاء الاصطناعي أو بنية تحتية لخدمة نماذج اللغة الكبيرة إلى التحقق من أشجار التبعيات الخاصة بها وتحديثها إلى Starlette 1.0.1 أو إصدار أحدث. أي تأخير يزيد من التعرض لاستغلال لا يتطلب مصادقة أو وصولًا خاصًا لتنفيذه.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.