مصدر المعلومات المرجعية
على الذكاء الاصطناعي

نشر
Français English Español Italiano Deutsch Português Nederlands Polski Română Українська Türkçe العربية 中文 日本語 한국어
إنشاء حسابي
ثغرة أمنية

وكالة CISA تحذر من ثغرة حرجة يتم استغلالها بنشاط في Langflow

تم اكتشاف ثغرة حرجة في Langflow، وهي منصة open source لإنشاء وكلاء الذكاء الاصطناعي، مما يسمح بتنفيذ التعليمات البرمجية عن بعد بدون مصادقة. تم تصحيح الثغرة في الإصدار 1.3.0 وأُضيفت إلى كتالوج الثغرات المستغلة المعروفة لدى CISA، التي توصي بالتحديث الفوري.

MAMarie-Claude Benoit · ·2 min
ترتيب في…
تم الحفظ. إضافة ملاحظة؟
ثغرة أمنيةالأمانالأخلاقيات والثقة والتنظيم
وكالة CISA تحذر من ثغرة حرجة يتم استغلالها بنشاط في Langflow
المحتويات
تم تحديد ثغرة حرجة من قبل الباحثين في Horizon3.ai في Langflow، وهي منصة open source لتصميم سلاسل وكلاء الذكاء الاصطناعي. تم الإشارة إلى هذه الثغرة تحت الرمز CVE-2025-3248، وتسمح بتنفيذ التعليمات البرمجية عن بعد (Remote Code Execution) عبر نقطة نهاية يمكن الوصول إليها بدون مصادقة. السبب: الاستخدام المباشر للدالة exec() على التعليمات البرمجية المقدمة من المستخدم، بدون احتواء أو تصفية. ورغم تصحيحها في النسخة 1.3.0، قامت وكالة الأمن السيبراني وحماية البنية التحتية الأمريكية (CISA) بإضافتها في 5 مايو إلى كتالوج الثغرات المستغلة المعروفة (KEV)، بناءً على أدلة على استغلال نشط.
 
تأسست في 2020 وتم الاستحواذ عليها في 2024 من قبل DataStax، توفر Langflow واجهة مرئية تتيح إنشاء وكلاء الذكاء الاصطناعي وتدفقات العمل المعقدة انطلاقاً من نماذج اللغة وAPIs وقواعد البيانات. هذا الأداة low-code open source موجهة للمطورين الذين يرغبون في إنشاء نماذج أولية لتطبيقات توليد المحتوى بسرعة مع الاحتفاظ بتحكم دقيق في المكونات التقنية. يعتمد محرك المنصة على سلسلة LangChain، مما يفسر شعبيتها في مشاريع RAG (retrieval-augmented generation) والمتعددة الوكلاء.
 
لتوفير توسيع مخصص للمكونات، تعرض Langflow نقطة نهاية للتحقق من الكود "/api/v1/validate/code". من المفترض أن يسهل هذا الآلية اختبار سكريبتات المستخدمين، وهو يعتمد على تنفيذ مباشر لكود Python عبر exec() بدون تحكم في الوصول أو بيئة آمنة (sandboxing). والنتيجة هي ثغرة حرجة: مجرد طلب HTTP يسمح، بدون مصادقة، بالسيطرة على الخادم الأساسي.

تم تسليط الضوء على هذه الثغرة من قبل فريق البحث الهجومي في Horizon3.ai، المتخصص في الكشف الاستباقي عن الثغرات، وتم تصنيفها كحرجة، مع درجة 9.8/10 على مقياس CVSS (نظام تسجيل الثغرات المشتركة). تنشر التفاصيل الكاملة للخلل وتقدم أيضًا دليل على المفهوم يمكن الوصول إليه، مما يجعل المخاطر ملموسة ومفهومة لجمهور تقني واسع.
 

التوصيات

على أثر الكشف، أصدرت CISA تنبيهًا أمنيًا توصي فيه الوكالات الحكومية والشركات بتحديث فوري إلى النسخة 1.3.0، التي تم إصدارها في 31 مارس الماضي، حيث أن الإصدارات السابقة قد تكون عرضة لحقن كود عشوائي.
 
يذكر الباحثون في Horizon3.ai، الذين يشيرون إلى أن أكثر من 500 نموذج من Langflow معروضة على الإنترنت،:
 
"بشكل عام، نوصي بتوخي الحذر عند عرض أدوات الذكاء الاصطناعي الحديثة على الإنترنت. إذا كان يجب عليك عرضها خارجيًا، ففكر في وضعها في VPC معزول و/أو خلف SSO. يكفي نشر واحد لهذه الأدوات على خادم سحابي لتكون هناك خرق في الأمان".
MA
Marie-Claude Benoit

هيئة تحرير ActuIA — أخبار وبيانات وتحليلات حول الذكاء الاصطناعي لصنّاع القرار.

الجهات المذكورة
CICISA
حول الموضوع نفسه
الولايات المتحدة تقطع الوصول إلى نموذجي Fable 5 وMythos 5 من Anthropic: سابقة لسيادة الذكاء الاصطناعي
15/06/2026
Anthropic تُجبر على تعليق Fable 5 وMythos 5 بعد توجيه صادر عن الحكومة الأمريكية
13/06/2026
مع LARA، يصبح الخطر التنظيمي لنماذج <span dir="ltr">LLM</span> قطعة تدقيق لمسؤولي حماية البيانات
08/06/2026
النشرة الأسبوعية ActuIA

تم تأكيد الاشتراك، نراكم قريبًا!