كشفت تقارير أمنية حديثة عن ثلاث ثغرات حرجة في أداة مفتوحة المصدر تُعرف باسم Picklescan، والتي تتيح لمهاجمين محتملين تنفيذ تعليمات برمجية تعسفية عن طريق تحميل نماذج PyTorch غير موثوقة، مما يعطل فعال لاكتشاف التهديدات.
تُستخدم أداة Picklescan، التي طورها ماتيو مايتر، لفحص ملفات Python pickle والكشف عن أي استدعاءات أو واردات مشبوهة قبل تنفيذها. تُعد صيغة pickle شائعة الاستخدام في تعلم الآلة، بما في ذلك PyTorch، التي تعتمد عليها لحفظ وتحميل النماذج.
ثغرات Picklescan وخطر اختراق نماذج تعلم الآلة
رغم أهمية Picklescan في تأمين نماذج تعلم الآلة، فقد كشفت التحقيقات عن إمكانية تجاوز حماية الأداة، وتقديم الملفات المفحوصة على أنها آمنة، ومن ثم تمكين تنفيذ تعليمات برمجية ضارة. قد يفتح هذا الباب أمام هجمات سلسلة التوريد.
يوضح الخبير الأمني ديفيد كوهين أن كل ثغرة مكتشفة تمكّن المهاجمين من التحايل على اكتشاف البرمجيات الخبيثة في PickleScan، وشن هجمات واسعة النطاق لسلسلة التوريد عبر توزيع نماذج تعلم الآلة الخبيثة التي تخفي تعليمات برمجية غير قابلة للكشف.
في جوهرها، تعمل Picklescan عن طريق فحص ملفات pickle على مستوى البايت (bytecode)، ومقارنة النتائج بقائمة محظورة (blocklist) للواردات والعمليات الخطرة المعروفة. ومع ذلك، فإن هذا النهج، على عكس الترخيص (allowlisting)، يعني أن الأداة قد لا تتمكن من اكتشاف أي ناقلات هجوم جديدة.
تفاصيل الثغرات المكتشفة
تم تحديد ثلاث ثغرات رئيسية، وهي:
- CVE-2025-10155 (درجة CVSS: 9.3/7.8): ثغرة تسمح بتجاوز امتداد الملف، مما يتيح تحميل النموذج عند تقديمه كملف pickle عادي بامتداد متعلق بـ PyTorch مثل `.bin` أو `.pt`.
- CVE-2025-10156 (درجة CVSS: 9.3/7.5): ثغرة تسمح بتعطيل فحص أرشيفات ZIP عن طريق إدخال خطأ في مجموع التحقق الدوري (CRC).
- CVE-2025-10157 (درجة CVSS: 9.3/8.3): ثغرة تسمح بتجاوز فحص المتغيرات العامة غير الآمنة (unsafe globals) في Picklescan، مما يؤدي إلى تنفيذ تعليمات برمجية تعسفية عبر التحايل على قائمة الاستدعاءات الخطرة.
يمكن أن تسمح هذه الثغرات للمهاجمين بإخفاء حمولات pickle الخبيثة داخل الملفات باستخدام امتدادات PyTorch الشائعة، أو إدخال أخطاء CRC عمدًا في أرشيفات ZIP تحتوي على نماذج خبيثة، أو صياغة نماذج PyTorch خبيثة تحتوي على حمولات pickle لتجاوز الماسح الضوئي.
تجاوز الخطر وتأثيره على أمن سلاسل التوريد
بعد الكشف المسؤول عن العيوب في 29 يونيو 2025، تم معالجة الثغرات الثلاث في الإصدار 0.0.31 من Picklescan، الذي صدر في 9 سبتمبر.
تبرز هذه الاكتشافات مشاكل النظام الرئيسية، مثل الاعتماد على أداة مسح واحدة، والتفاوتات في سلوك معالجة الملفات بين أدوات الأمان وPyTorch، مما يجعل البنى الأمنية عرضة لهجمات سلسلة التوريد.
يشير كوهين إلى أن مكتبات الذكاء الاصطناعي مثل PyTorch تزداد تعقيدًا، وتضيف ميزات جديدة وصيغ نماذج وطرق تنفيذ أسرع مما يمكن لأدوات المسح الأمني مواكبته. هذا الفجوة المتزايدة بين الابتكار والحماية تترك المؤسسات معرضة لتهديدات ناشئة لم تصمم الأدوات التقليدية لمواجهتها.
لتضييق هذه الفجوة، يتطلب الأمر وجود وكيل أمني مدعوم بالبحث لنماذج الذكاء الاصطناعي، يتم تحديثه باستمرار بواسطة خبراء يفكرون بمنطق المهاجمين والمدافعين على حد سواء. من خلال التحليل النشط للنماذج الجديدة، وتتبع تحديثات المكتبات، وكشف تقنيات الاستغلال الجديدة، يقدم هذا النهج حماية تكيفية وموجهة بالذكاء ضد نقاط الضعف الأكثر أهمية.