تم رصد محاولات لاستغلال ثغرة أمنية تم اكتشافها مؤخرًا في PraisonAI، وهي منصة مفتوحة المصدر لتنسيق تعدد الوكلاء، وذلك خلال فترة زمنية لا تتجاوز أربع ساعات من الكشف العام عنها. تشير هذه الحادثة إلى تسارع وتيرة التهديدات السيبرانية التي تستهدف التقنيات الناشئة.
تتمثل الثغرة المحددة في CVE-2026-44338، والتي تم تصنيفها بدرجة 7.3 على مقياس CVSS، وتتعلق بفقدان آلية المصادقة مما يعرض نقاط النهاية الحساسة لأي طرف، مما قد يسمح للمهاجم باستدعاء وظائف محمية لخادم واجهة برمجة التطبيقات دون الحاجة إلى رمز مميز.
الاستغلال السريع لثغرة PraisonAI الأمنية
وفقًا لإعلان صادر عن مطوري PraisonAI، فإن خادم واجهة برمجة التطبيقات القديم المبني على Flask يفتقر إلى المصادقة افتراضيًا. هذا يسمح لأي مستخدم يصل إلى الخادم بتشغيل سير العمل المحدد في ملف agents.yaml عبر نقطة النهاية /chat دون تقديم أي بيانات اعتماد.
يحتوي الكود المصدري للخادم القديم، src/praisonai/api_server.py، على إعدادات ثابتة مثل AUTH_ENABLED = False و AUTH_TOKEN = None، مما يجعلها عرضة للخطر.
هذا الخلل يسمح بشكل أساسي بتجاوزات متعددة، بما في ذلك الكشف غير المصرح به عن ملف الوكلاء، وتشغيل سير عمل agents.yaml، واستهلاك حصة استخدام النماذج أو واجهة برمجة التطبيقات بشكل متكرر، وكشف نتائج استدعاءات PraisonAI.run() للمستخدم غير المصادق عليه.
يعتمد التأثير الفعلي للثغرة بشكل كبير على الإجراءات المسموح بها للوكلاء ضمن ملف agents.yaml، إلا أن تجاوز المصادقة يتم بشكل غير مشروط في الخادم القديم الذي لا يزال قيد الاستخدام.
النسخ المتأثرة من حزمة PraisonAI التي تعاني من هذه الثغرة تشمل الإصدارات من 2.5.6 إلى 4.6.33. وقد تم إصدار تصحيح لهذه المشكلة في الإصدار 4.6.34. ويعود الفضل في اكتشاف هذه الثغرة والإبلاغ عنها إلى الباحث الأمنيشموليك كوهين.
رصد النشاط الضار
أظهر تقرير صادر عن شركة Sysdig للأمن السيبراني أن محاولات استغلال هذه الثغرة بدأت في غضون ساعات قليلة من نشر الإعلان عنها. وقد رصدت الشركة ماسحًا ذاتيًا يُعرف باسم CVE-Detector/1.0 وهو يقوم بفحص نقاط النهاية المتأثرة على الأنظمة المكشوفة للإنترنت.
تم نشر الإعلان عن الثغرة في 11 مايو 2026، حوالي الساعة 13:56 بالتوقيت العالمي المنسق، ووصلت أول طلبية موجهة نحو نقطة النهاية المتأثرة في الساعة 17:40 من نفس اليوم. يدل هذا التوقيت الضيق على مدى استجابة الجهات الخبيثة للكشوف الأمنية الجديدة.
جاء النشاط الضار من عنوان IP محدد، وتبع نمطًا يعتمد على الماسحات المجهزة، حيث تم إجراء جولتين من الفحص بفاصل زمني قصير، مع كل جولة ترسل حوالي 70 طلبًا في ما يقرب من 50 ثانية.
خلال الجولة الأولى، قام الماسح بفحص مسارات الكشف العامة والشائعة مثل /.env و /admin، بينما ركزت الجولة الثانية بشكل خاص على أسطح العمل الخاصة بالوكلاء الذكيين، بما في ذلك PraisonAI. وقد تم تأكيد نجاح تجاوز المصادقة عبر طلب GET /agents بسيط بدون أي ترويسة Authorization.
لم يتم رصد إرسال أي طلبات POST إلى نقطة النهاية /chat خلال الفحص، مما يشير إلى أن النشاط كان عبارة عن فحص أولي لتأكيد فعالية آلية تجاوز المصادقة وإمكانية استغلال النظام عبر CVE-2026-44338.
يمثل الاستغلال السريع لثغرة PraisonAI أحدث مثال على اتجاه أوسع حيث يقوم المهاجمون بدمج الثغرات المكتشفة حديثًا في أدواتهم قبل أن يتمكن المستخدمون من تطبيق الإصلاحات اللازمة. يُنصح المستخدمون بتطبيق أحدث التصحيحات الأمنية فور توفرها، ومراجعة عمليات النشر الحالية، والتحقق من فواتير مزودي الخدمة بحثًا عن أي نشاط مشبوه، بالإضافة إلى تغيير بيانات الاعتماد المشار إليها في ملف “agents.yaml”.
تشير التقديرات إلى أن أدوات الهجوم أصبحت تتوسع لتشمل النظام البيئي الكامل للذكاء الاصطناعي والوكلاء، بغض النظر عن حجم المشروع. وأن الافتراض السائد لأي مشروع يشحن إعدادات افتراضية غير مصادق عليها هو أن الفترة الزمنية بين الكشف عن الثغرة والاستغلال النشط لها تُقاس ببضع ساعات فقط.