كل ثغرة تكشف عن فئة مختلفة من بيانات المؤسسة: إطار عمل LangChain يتعرض لعدة مشكلات أمنية مقلقة — إليكم ما نعرفه

ثغرات أمنية خطيرة في LangChain و LangGraph ت exposing ملفات، أسرار، وتاريخ المحادثات

اكتشاف ثغرات أمنية عالية الخطورة

كشفت دراسة حديثة عن وجود ثلاث ثغرات أمنية عالية الخطورة في إطار العملين LangChain و LangGraph، وهي إطارات برمجية مفتوحة المصدر تُستخدم لبناء تطبيقات الذكاء الاصطناعي. تسمح هذه الثغرات للمهاجمين بسرقة بيانات حساسة من الأنظمة المخترقة.

وظيفة LangChain و LangGraph

LangChain

يساعد المطورين على بناء تطبيقات باستخدام نماذج اللغة الكبيرة (LLM)، عبر ربط نماذج الذكاء الاصطناعي بمصادر البيانات والأدوات المختلفة.
يُعد أداة شعبية بين المطورين لإنشاء روبوتات الدردشة والمساعدين الذكيين.

LangGraph

مبني على LangChain، ويهدف إلى إنشاء عملاء ذكاء اصطناعي يتبعون سير عمل منظم ومرتب خطوة بخطوة.
يستخدم الرسوم البيانية للتحكم في انتقال المهام بين الخطوات، ويُستخدم في العمليات المعقدة والمتعددة المراحل.

إحصائيات الاستخدام

وفقًا لموقع PyPI، يتم تحميل المشاريع أكثر من 60 مليون مرة أسبوعيًا، مما يدل على شعبيتها الكبيرة في مجتمع تطوير البرمجيات.

الثغرات الأمنية وإصلاحها

إجمالاً، تم تصحيح ثلاث ثغرات:

  • CVE-2026-34070 (تقييم الخطورة: 7.5/10 – عالي): ثغرة في مسار الوصول إلى الملفات (path traversal) في LangChain تتيح الوصول إلى ملفات عشوائية بدون التحقق.
  • CVE-2025-68664 (تقييم الخطورة: 9.3/10 – حرجة): خلل في عملية التسلسل (deserialization) غير الموثوق بها في LangChain، يؤدي إلى تسريب مفاتيح API وأسرار البيئة.
  • CVE-2025-67644 (تقييم الخطورة: 7.3/10 – عالي): ثغرة حقن SQL في تنفيذ checkpoints في SQLite الخاص بـ LangGraph، تمكن من التلاعب في استعلامات SQL.

ملاحظة: كل ثغرة تهدد نوعًا معينًا من البيانات الحساسة، مثل ملفات النظام، الأسرار، وتاريخ المحادثات.

كيفية الإصلاح

  • تحديث langchain-core إلى الإصدار 1.2.22 أو أعلى لـ CVE-2026-34070.
  • تحديث langchain-core إلى n0.3.81 أو 1.2.5 لـ CVE-2025-68664.
  • تحديث langgraph-checkpoint-sqlite إلى 3.0.1 لـ CVE-2025-67644.

تحذيرات أمنية مهمة

قال الباحث فلاديمير توكاريف من شركة Cyera:
“أكبر تهديد لبيانات الذكاء الاصطناعي في المؤسسات قد لا يكون معقدًا كما يظن البعض، بل يكمن في البنية التحتية الأساسية التي تربط الذكاء الاصطناعي بأعمالك، وهي عرضة لأقدم أساليب الاختراق.”

وأشارت الدراسة إلى أن LangChain “لا يعمل بمعزل”، بل هو جزء من شبكة اعتماد ضخمة تمتد عبر طبقات الذكاء الاصطناعي، مما يعني أن أي ثغرة في أحد مكوناته قد تؤدي إلى ثغرات في المكونات الأخرى.

نصائح أمنية

  • تحديث الأدوات باستمرار؛ لأن إصلاح الثغرات لا يكفي بمفرده.
  • مراجعة الكود الذي يمرر إعدادات خارجية أو تعتمد على المستخدم، خاصة عند استخدام load_prompt_from_config() أو load_prompt().
  • عدم تفعيل secrets_from_env=True عند استدعاء دي serialization لبيانات غير موثوقة.
  • معاملة مخرجات نماذج اللغة الكبيرة كمدخلات غير موثوقة، مع مراقبة الحقن في الطلبات.
  • التحقق من مفاتيح metadata قبل تمريرها لاستعلامات checkpoint، وتجنب السماح لسلاسل التحكم من قبل المستخدم أن تكون مفاتيح في القواميس.

خلاصة

لضمان حماية مشاريعك، تأكد من تحديث الأدوات إلى أحدث إصدار، ومراجعة إعدادات التكوين والتأكد من أمانها.
هذه الإجراءات ضرورية لحماية البيانات الحساسة من الاختراقات المحتملة.


حماية أنظمتك من الثغرات الأمنية في LangChain و LangGraph

ملاحظة: يمكن الاطلاع على مزيد من المعلومات عبر متابعة مصادر الأخبار التقنية الموثوقة، وتأكيد تحديث الأدوات بشكل دوري لضمان الأمان الكامل.

0 0 0 0 0 0
0 تعليقات
تعليق

منشورات أخرى

جاري تحميل المنشورات…