أعلن فريق بحثي متخصص في الأمن السيبراني عن اكتشاف سلسلة من الثغرات الأمنية في بوابة الذكاء الاصطناعي "LiteLLM"، وهي أداة مفتوحة المصدر تستخدم على نطاق واسع لتوجيه الاستعلامات إلى أكثر من 100 مزود لنماذج الذكاء الاصطناعي عبر واجهة واحدة متوافقة مع OpenAI. تبدأ السلسلة بوجود حساب افتراضي منخفض الصلاحيات في خادم الوكيل (proxy) الخاص بـ LiteLLM، والذي يمكن للمهاجم استغلاله عبر ربط ثلاث ثغرات أمنية للارتقاء إلى صلاحيات المدير الكامل. بمجرد السيطرة على الخادم، يصبح بإمكان المهاجم الوصول إلى جميع مفاتيح مزودي الخدمة المخزنة، بالإضافة إلى الأسرار والبيانات الحساسة الأخرى. ويؤكد الباحثون أن هذه الثغرات تمثل تهديداً خطيراً للمؤسسات التي تعتمد على LiteLLM كبوابة مركزية للوصول إلى نماذج الذكاء الاصطناعي، حيث يمكن أن تؤدي إلى تسرب بيانات حساسة أو تعطيل الخدمات.
تكنولوجيا
ثغرات متسلسلة في بوابة الذكاء الاصطناعي "LiteLLM" تمنح المستخدمين العاديين صلاحيات المدير
ستاف كوانتم·فريق التحرير١٥ يونيو ٢٠٢٦ في ٠٥:٢٩ م1 دقائق قراءة
كشف باحثون أمنيون عن سلسلة من ثلاث ثغرات في بوابة الذكاء الاصطناعي مفتوحة المصدر "LiteLLM"، تسمح لمستخدم منخفض الصلاحيات بالارتقاء إلى صلاحيات المدير وتنفيذ أوامر على الخادم، مما يعرض مفاتيح مزودي الخدمة لخطر التسريب.
رأي ستاف كوانتم
يرى المراقبون أن هذه الثغرات تسلط الضوء على المخاطر المتزايدة لاستخدام البوابات مفتوحة المصدر في البنية التحتية الحيوية للذكاء الاصطناعي، خاصة مع الاعتماد الواسع على مثل هذه الأدوات دون إجراء تقييم أمني كافٍ. ويشددون على ضرورة تطبيق سياسات صارمة لإدارة الحسابات الافتراضية وتحديث البرامج بانتظام لسد الثغرات.