🚧 Cybrat is a sub-brand of SySOC s.r.o. and is currently in beta phase
🚧 سيبرات علامة فرعية مملوكة لشركة سيسوك وتعمل حالياً ضمن المرحلة التجريبية

CYBRAT

ســيــبــرات

لأن الأمان يبدأ بالمعلومة

,

الثغرة الأمنية في منصة تطوير الذكاء الاصطناعي: تهديدات وتداعيات على الأمن السيبراني

1–2 minutes

كشفت الأبحاث في مجال الأمن السيبراني عن ثغرة أمنية خطيرة في منصة تطوير الذكاء الاصطناعي المعروفة باسم لايتنينغ إيه آي ستوديو. إذا تم استغلال هذه الثغرة بنجاح، فإنها قد تتيح تنفيذ التعليمات البرمجية عن بُعد، مما يشكل تهديدًا حقيقيًا للمستخدمين.

تحليل مفصل وسياق أوسع

تم تصنيف هذه الثغرة بنقاط 9.4 على مقياس CVSS، مما يعكس خطورتها البالغة. وفقًا لتقرير شركة الأمن Noma، يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ أوامر عشوائية بحقوق جذر (Root Privileges) عن طريق استغلال معلمة URL مخفية.

صرح الباحثون ساسي ليفي، ألون ترون، وغال مويل بأن هذا المستوى من الوصول يمكن استغلاله في عدد من الأنشطة الخبيثة، مثل استخراج المفاتيح الحساسة من الحسابات المستهدفة. الثغرة تكمن في جزء من كود جافا سكريبت الذي يمكن أن يسهل الوصول غير المقيد إلى بيئة تطوير الضحية، وكذلك تنفيذ أوامر عشوائية على هدف مصادق عليه في سياق ذي امتيازات.

تداعيات وأهمية الأمن السيبراني

اكتشفت شركة Noma معلمة مخفية تدعى “command” في عناوين URL الخاصة بالمستخدمين، مثل “lightning.ai/PROFILE_USERNAME/vision-model/studios/STUDIO_PATH/terminal?fullScreen=true&command=cmVzc…”، والتي يمكن استخدامها لتمرير تعليمات مشفرة بتقنية Base64 للتنفيذ على المضيف الأساسي.

الأمر الأكثر خطورة هو أن الثغرة يمكن تسليحها لتنفيذ أوامر تتيح استخراج معلومات حساسة مثل الرموز المميزة (Access Tokens) ومعلومات المستخدم إلى خادم يتحكم فيه المهاجم.

نجاح استغلال الثغرة يعني أن الخصم يمكنه تنفيذ أوامر عشوائية بامتيازات عالية والوصول إلى الجذر، جمع البيانات الحساسة، وتعديل نظام الملفات لإنشاء، حذف، أو تعديل الملفات على الخادم.

توصيات وممارسات أمنية

كل ما يحتاجه المهاجم لتنفيذ الهجوم هو معرفة مسبقة باسم مستخدم من الملف الشخصي واسم الاستوديو المرتبط بـ Lightning AI Studio، وهي تفاصيل متاحة علنًا عبر معرض قوالب الاستوديو.

تم حل المشكلة من قبل فريق Lightning AI في 25 أكتوبر بعد تقديم الإفصاح المسؤول في 14 أكتوبر 2024. أشارت الأبحاث إلى أن ثغرات مثل هذه تؤكد على أهمية رسم وتأمين الأدوات والأنظمة المستخدمة في بناء وتدريب ونشر نماذج الذكاء الاصطناعي نظرًا لطبيعتها الحساسة.

دعوة للنقاش والتفاعل

ما هي الاستراتيجيات التي تعتقد أنها ستكون الأكثر فعالية في منع هذا النوع من الهجمات في المستقبل؟ كيف ينبغي للشركات تحسين الأمن السيبراني في عصر الذكاء الاصطناعي؟ نرحب بتعليقاتكم وآرائكم على منصة X وفيسبوك.

اكتشف المزيد مع سيبرات

اشترك ليصلك أحدث المنشورات على بريدك الإلكتروني

شاركنا رأيك بتعليق

المقالات الرائجة

اكتشف المزيد مع سيبرات

اشترك الآن للاستمرار في القراءة والحصول على الوصول الكامل إلى الأرشيف

تابع القراءة