ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

Very satisfied Satisfied Neutral Dissatisfied Very dissatisfied
واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

در جریان تغییرات صنعت فناوری بمانید!

جدیدترین اخبار و روندهای دنیای فناوری را با نگاهی دقیق و حرفه‌ای، در کانال تلگرام دیجیاتو دنبال کنید.

ورود به کانال تلگرام دیجیاتو
هک ایجنت هوش مصنوعی
امنیت

آسیب‌پذیری بحرانی BadHost؛ میلیون‌ها ایجنت هوش مصنوعی در معرض خطر هک قرار گرفتند

آسیب‌پذیری بحرانی BadHost در فریم‌ورک متن‌باز استارلت، میلیون‌ها ایجنت هوش مصنوعی را در معرض سرقت اطلاعات و دسترسی غیرمجاز هکرها قرار می‌دهد.

جواد تاجی
نوشته شده توسط جواد تاجی تاریخ انتشار: ۶ خرداد ۱۴۰۵ | ۱۸:۳۰

در دیجیاتو ثبت‌نام کنید

جهت بهره‌مندی و دسترسی به امکانات ویژه و بخش‌های مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.

عضویت در دیجیاتو

یک پژوهشگر امنیتی هشدار داده که میلیون‌ها ابزار و ایجنت هوش مصنوعی در سراسر جهان به دلیل یک آسیب‌پذیری بحرانی در معرض خطر قرار گرفته‌اند. این نقص به هکرها اجازه می‌دهد تا به سرورهای اجرای این ابزارها نفوذ کرده و داده‌های حساس و اطلاعات کاربری حساب‌های شخص ثالث را سرقت کنند.

آسیب‌پذیری مذکور برای فریم‌ورک متن‌باز استارلت (Starlette) گزارش شده که به گفته توسعه‌دهنده آن، هفته‌ای ۳۲۵ میلیون بار دانلود می‌شود. هزاران پروژه متن‌باز دیگر نیز به دلیل وابستگی به استارلت در معرض خطر هستند. این فریم‌ورک پردازش همزمان و کارآمد تعداد زیادی درخواست را ممکن می‌کند.

سوءاستفاده آسان و میلیون‌ها سرور در معرض خطر

طبق توضیحات گزارش، استارلت به سرورهایی که پروتکل کانتکست مدل (MCP) را اجرا می‌کنند، دسترسی دارد. این پروتکل از سوی ارائه‌دهندگان بزرگ به ایجنت‌های هوش مصنوعی اجازه می‌دهد تا به منابع خارجی مانند پایگاه‌های داده کاربران، حساب‌های ایمیل، تقویم و سایر منابع متصل شوند. سرورهای MCP برای برقراری ارتباط با این سیستم‌های خارجی، اعتبارنامه‌های مربوط به هر یک از این منابع را ذخیره می‌کنند و همین موضوع آنها را به اهدافی بسیار ارزشمند برای نفوذ مهاجمان تبدیل می‌کند.

این آسیب‌پذیری که با شناسه CVE-2026-48710 و نام BadHost ردگیری می‌شود، به راحتی قابل سوءاستفاده است و روی بیشتر سیستم‌هایی که پشت یک فایروال با پیکربندی مناسب قرار ندارند، کار می‌کند. علاوه‌بر FastAPI، پکیج‌های پرکاربرد دیگری از جمله vLLM و LiteLLM نیز تحت تأثیر قرار گرفته‌اند. همچنین آسیب‌پذیری BadHost نسخه‌های پیش از ۱.۰.۱ استارلت را که روز جمعه منتشر شده بود، درگیر می‌کند.

آسیب‌پذیری ایجنت‌ها

پژوهشگران شرکت امنیتی Secwest دراین‌باره نوشته‌اند:

«این نقص امنیتی از طریق FastAPI به بخش بزرگی از اکوسیستم ابزارهای هوش مصنوعی پایتون، از جمله vLLM، LiteLLM، استنتاج تولید متن، اکثر پروکسی‌های واسط OpenAI، سرورهای MCP، مهارکننده‌های ایجنت، داشبوردهای ارزیابی و رابط‌های کاربری مدیریت مدل راه پیدا می‌کند.»

مشکل اصلی این آسیب‌پذیری این است که استارلت مقادیر نامعتبر هدر میزبان را دریافت می‌کند. بنابراین برنامه‌های احراز استارلت، درخواست‌های دسترسی غیرمجاز را تأیید می‌کنند.

آسیب‌پذیری BadHost امتیاز ۷ از ۱۰ را از نظر شدت وخامت کسب کرده است. بااین‌حال، Secwest اعلام کرده که این دسته‌بندی ممکن است تهدیدی که برای کاربران برنامه‌های وابسته به استارلت وجود دارد را دست‌کم جلوه دهد. شرکت امنیتی X41 D-Sec که این نقص را کشف کرده، شدت آن را «بحرانی» توصیف کرده است.

جواد تاجی
جواد تاجی

دوران حرفه‌ای من در دنیای فناوری تقریبا به ۱۰ سال قبل برمی‌گرده؛ مسیری که با سخت‌افزار شروع شد، با نرم‌افزار ادامه پیدا کرد و حالا با خبرنگاری حوزه فناوری توی دیجیاتو داره ادامه پیدا می‌کنه. من جوادم و بیشتر از سه دهه از عمرم می‌گذره و علاوه بر دنیای فناوری عاشق فیلم‌و‌سینما، موسیقی کلاسیک‌راک و رئال مادریدم.

مشاهده کلیه مقالات منتشر شده
دیدگاه‌ها و نظرات خود را بنویسید
مجموع نظرات ثبت شده (4 مورد)
  • Anti
    Anti | 2 هفته قبل

    خب معلومه که کاشفش میگه این خیلی خطرناکه و ما خیلی خفنیم
    اصلا فیچری که api زیادی میزنه پر از آسیبپذیریه
    Vulnerabilities are infinity

  • VNabaei
    VNabaei | 2 هفته قبل

    جالب و مفيد بود مرسی🙏🌱

  • وحید
    وحید | 2 هفته قبل

    و جواد تاجی رو داریم با یک هتریک تماشایی چه میکنه این بازیکن

  • 34455hisaosun
    34455hisaosun | 2 هفته قبل

    عکس فیلم ترسناک

مطالب پیشنهادی

پیشنهادهای دیجیاتو