كشفت تقارير أمنية حديثة عن ثغرات خطيرة في إطار عمل الذكاء الاصطناعي مفتوح المصدر الشهير “Chainlit”، مما قد يسمح للمهاجمين بالوصول إلى بيانات حساسة وسرقتها، بما في ذلك مفاتيح واجهة برمجة التطبيقات (API) الخاصة بالبيئات السحابية، بالإضافة إلى إمكانية تنفيذ هجمات تجاوز الخادم (SSRF).
ووفقاً لشركة “Zafran Security”، فإن هذه الثغرات، التي أطلق عليها اسم “ChainLeak”، ذات خطورة عالية ويمكن استغلالها لتسريب معلومات قيمة، مما يفتح الباب أمام حركة جانبية داخل المؤسسات المتأثرة. وتأتي هذه الاكتشافات في وقت تتزايد فيه الاعتماد على أدوات الذكاء الاصطناعي في مختلف القطاعات.
ثغرات “ChainLeak” تهدد أمن تطبيقات الذكاء الاصطناعي
يُستخدم إطار عمل Chainlit بشكل أساسي لإنشاء روبوتات محادثة تفاعلية تعتمد على تقنيات الذكاء الاصطناعي. وقد شهد هذا الإطار شعبية متزايدة، حيث تجاوز عدد مرات تنزيله 7.3 مليون مرة حتى الآن، مما يجعله هدفاً جذاباً للمهاجمين.
تتضمن الثغرات المكتشفة اثنتين رئيسيتين. الأولى، المسماة CVE-2026-22218، تسمح بقراءة عشوائية للملفات، حيث يمكن للمهاجم، بعد المصادقة، الوصول إلى محتويات أي ملف يمكن للخدمة قراءته. وتعود هذه الثغرة إلى عدم التحقق الكافي من حقول يتم التحكم فيها بواسطة المستخدم.
أما الثغرة الثانية، CVE-2026-22219، فهي ثغرة تجاوز الخادم (SSRF) التي تسمح للمهاجم بإجراء طلبات HTTP عشوائية إلى خدمات الشبكة الداخلية أو نقاط النهاية الوصفية للسحابة من خادم Chainlit. ويتم استغلال هذه الثغرة عند تكوين الإطار لاستخدام طبقة بيانات SQLAlchemy.
وصرح باحثو Zafran، غال زابان وإيدو شاني، أن “دمج هاتين الثغرتين يمكن أن يؤدي إلى تسريب بيانات حساسة، وتصعيد الامتيازات، والتحرك الجانبي داخل النظام”. وأضافوا أن “انهيار أمن تطبيق الذكاء الاصطناعي يبدأ بمجرد حصول المهاجم على إمكانية قراءة عشوائية للملفات على الخادم”.
على سبيل المثال، يمكن استغلال ثغرة قراءة الملفات للوصول إلى معلومات حيوية مثل مفاتيح API وبيانات الاعتماد ومسارات الملفات الداخلية. وهذا بدوره يمكن أن يمنح المهاجم وصولاً أعمق إلى الشبكة المخترقة، وربما الوصول إلى كود المصدر للتطبيق. وبشكل بديل، يمكن استخدامها لتسريب ملفات قواعد البيانات إذا كان الإعداد يستخدم SQLAlchemy مع SQLite.
إصلاح الثغرات وتداعياتها
بعد الكشف المسؤول عن الثغرات في 23 نوفمبر 2025، قامت Chainlit بإصدار تحديث إلى الإصدار 2.9.4 في 24 ديسمبر 2025، لمعالجة هذه المشكلات الأمنية. وتؤكد Zafran Security أن “اعتماد المؤسسات السريع لأطر عمل الذكاء الاصطناعي والمكونات الخارجية يغرس فئات ضعف برمجية قديمة مباشرة في البنية التحتية للذكاء الاصطناعي”.
من جهة أخرى، كشفت شركة BlueRock عن ثغرة أخرى في خادم بروتوكول سياق MarkItDown (MCP) الخاص بمايكروسوفت، والتي قد تعرض المنظمات لهجمات تصعيد الامتيازات، وتجاوز الخادم، وتسريب البيانات. وتؤثر هذه الثغرة بشكل خاص على الخادم عند تشغيله على مثيلات Amazon Web Services (AWS) EC2 باستخدام IMDSv1.
وفقاً لـ BlueRock، تسمح هذه الثغرة للمهاجم بتنفيذ أداة convert_to_markdown الخاصة بـ Markitdown لاستدعاء أي معرف موارد موحد (URI) بشكل عشوائي. وأشار تقريرهم إلى أن “غياب أي حدود لـ URI يسمح لأي مستخدم أو وكيل أو مهاجم بالوصول إلى أي مورد HTTP أو ملف”.
وأضافت الشركة أنه عند توفير URI لخادم Markitdown MCP، يمكن استخدامه للاستعلام عن بيانات التعريف الخاصة بالمثيل (instance metadata). ويمكن للمستخدم حينئذٍ الحصول على بيانات اعتماد المثيل إذا كان لديه دور مرتبط، مما يمنحه وصولاً إلى حساب AWS، بما في ذلك مفاتيح الوصول والسرية. تنصح BlueRock باستخدام IMDSv2 وتطبيق حظر IP الخاص وتقييد الوصول إلى خدمات البيانات الوصفية لتقليل المخاطر.