كشف باحثو الأمن السيبراني في شركة سايرا (Cyera) الأمريكية عن 3 ثغرات أمنية خطيرة تضرب إطارات العمل الشهيرة “LangChain” و”LangGraph”، محذرين من إمكانية استغلالها للوصول إلى ملفات النظام والأسرار البرمجية وقواعد البيانات.
يُمثل الإطاران لانغ تشين ولانغجراف العمود الفقري لكثير من تطبيقات الذكاء الاصطناعي التي تعمل بنماذج اللغة الكبيرة.
وتكشف الإحصاءات التي نقلها موقع “THN” حجم الانتشار المذهل لهذه الأدوات، إذ تجاوزت تنزيلات لانغ تشين وحدها 52 مليون مرة في الأسبوع الماضي فقط، فيما سجلت لانغ تشين- كور أكثر من 23 مليون تنزيل، أما لانغجراف سجلت ما يزيد على 9 ملايين.
أرقام تعني ببساطة أن هذه الثغرات لا تمس مطوراً واحداً أو شركة بعينها، بل تطال منظومة تقنية ضخمة متشابكة الأطراف.
الثغرات الثلاث: 3 أبواب لسرقة بياناتك
رصد الباحث الأمني فلاديمير توكاريف من شركة “Cyera” ثلاث ثغرات مستقلة، كل منها يفتح طريقاً مختلفاً أمام المهاجم لاستنزاف البيانات الحساسة.
الثغرة الأولى — CVE-2026-34070 (درجة الخطورة: 7.5 من 10):
تندرج ضمن فئة “اجتياز المسارات” في لانغ تشين، وتتيح للمهاجم قراءة أي ملف في النظام دون أي قيود، عبر إرسال نموذج توجيه مصمَّم بعناية يخدع الأداة ويجعلها تفتح ملفات حساسة كإعدادات Docker وغيرها.
الثغرة الثانية — CVE-2025-68664 (درجة الخطورة: 9.3 من 10):
الأخطر على الإطلاق، وتقع في آلية تحليل البيانات في لانغ تشين، يستطيع المهاجم خداع التطبيق بإرسال بنية بيانات مزيفة تنتحل صفة كائن برمجي معتمد، مما يتيح له استخراج مفاتيح API والأسرار البيئية الحساسة.
وقد كشفت الشركة عن تفاصيل هذه الثغرة في ديسمبر (كانون الأول) 2025 تحت الاسم الرمزي “LangGrinch”.
الثغرة الثالثة — CVE-2025-67644 (درجة الخطورة: 7.3 من 10):
تصيب آلية حفظ نقاط التفتيش في لانغجراف المعتمدة على قاعدة بيانات SQLite، وتسمح بحقن استعلامات SQL خبيثة عبر مفاتيح تصفية البيانات الوصفية، ما يُمكن المهاجم من استرجاع سجلات المحادثات وتاريخ سير العمل بالكامل.
التحديثات المتاحة: الحل موجود لكنه يستدعي تصرفاً فورياً
أصدر المطورون إصلاحاً لكل ثغرة على حدة:
CVE-2026-34070 — الإصلاح في الإصدار langchain-core النسخة 1.2.22 أو أحدث
CVE-2025-68664 — الإصلاح في الإصدارين 0.3.81 و1.2.5 من langchain-core
CVE-2025-67644 — الإصلاح في الإصدار 3.0.1 من langgraph-checkpoint-sqlite
ويكشف هذا الاختراق عن حقيقة يتجاهلها كثيرون، وهي أن أدوات الذكاء الاصطناعي ليست محصنة ضد الثغرات الكلاسيكية القديمة، فلانغ تشين لا تعمل بشكل مستقل؛ بل تقع في مركز شبكة تبعيات ضخمة تمتد عبر طبقات كاملة من المكتبات والتكاملات، وعندما تُصاب نواتها بثغرة، تتموج التداعيات إلى كل مكتبة تعتمد عليها وكل تكامل يلحق بها.
الخلاصة إن كنت تبني تطبيقات ذكاء اصطناعي أو تعمل في فريق يستخدم لانغ تشين أو لانغجراف، فالأولوية القصوى الآن هي تحديث هذه المكتبات فوراً قبل أن تتحول الثغرة إلى سلاح ضدك.
لتصلك آخر الأخبار تابعنا على قناتنا على تلغرام: النعيم نيوز
لمتابعتنا على فيسبوك يرجى الضغط على الرابط التالي: النعيم نيوز
كما يمكنك الاشتراك على قناتنا على منصة يوتيوب لمتابعة برامجنا على: قناة النعيم الفضائية
كما يمكنك أيضا الاشتراك بقناتنا على الانستغرام: النعيم نيوز
