ثغرة CVE-2026-5760 في SGLang تهدد خوادم الذكاء الاصطناعي

كشف تقرير عن ثغرة CVE-2026-5760 الخطيرة في SGLang، والتي تتيح للمهاجمين تنفيذ تعليمات برمجية عن بعد واختراق خوادم الذكاء الاصطناعي بسهولة تامة.

ما هي خطورة ثغرة CVE-2026-5760 في إطار عمل SGLang؟

تم تصنيف الثغرة الأمنية الجديدة تحت الرمز CVE-2026-5760، وحصلت على درجة خطورة قصوى بلغت 9.8 من 10 وفقاً لمقياس CVSS. وتكمن خطورتها في قدرتها على السماح للمهاجمين بتنفيذ عمليات "حقن الأوامر" (Command Injection)، مما يؤدي في النهاية إلى تنفيذ برمجيات خبيثة بشكل تعسفي على الخوادم الضعيفة.

يعتبر SGLang إطار عمل مفتوح المصدر وعالي الأداء، يُستخدم لخدمة نماذج اللغات الكبيرة (LLMs) والنماذج متعددة الوسائط. ونظراً لانتشاره الواسع، حيث تم استنساخه (Fork) أكثر من 5,500 مرة على منصة GitHub وحصل على ما يزيد عن 26,000 إعجاب، فإن تأثير هذه الثغرة قد يطال قطاعاً واسعاً من الشركات والمطورين الذين يعتمدون عليه في بناء تطبيقات الذكاء الاصطناعي.

تفاصيل الخلل التقني في نقطة النهاية /v1/rerank

وفقاً لما رصده تيكبامين، فإن الثغرة تؤثر بشكل مباشر على نقطة النهاية المسماة "/v1/rerank". يمكن للمهاجم استغلال هذا الخلل من خلال ملف نموذج مصمم خصيصاً بتنسيق GPT-Generated Unified Format والمعروف اختصاراً بـ GGUF.

• نوع الهجوم: حقن القوالب من جانب الخادم (SSTI).
• الأداة المستخدمة: ملف نموذج GGUF مفخخ.
• المحرك المتأثر: مكتبة Jinja2 داخل بيئة SGLang.
• النتيجة النهائية: تنفيذ كود بايثون (Python) كامل على الخادم المستهدف.

كيف يتم استغلال الثغرة عبر ملفات GGUF المفخخة؟

يبدأ الهجوم عندما يقوم المهاجم بإنشاء ملف نموذج GGUF خبيث يحتوي على معيار (Parameter) معدل في tokenizer.chat_template. يتضمن هذا المعيار حمولة (Payload) تعتمد على حقن قوالب Jinja2، مع عبارة محفزة لتنشيط المسار البرمجي المصاب داخل الخادم.

بمجرد أن يقوم المستخدم الضحية بتحميل هذا النموذج في بيئة SGLang، وإرسال طلب إلى نقطة النهاية المستهدفة، يتم تشغيل القالب الخبيث وتنفيذ أوامر البايثون التي وضعها المهاجم. وحسب تيكبامين، فإن هذا التسلسل يسمح للمخترقين بالسيطرة الكاملة على خادم الاستدلال (Inference Server) وسرقة البيانات أو تعطيل الخدمات.

لماذا نجح هذا الهجوم؟

أوضح الباحث الأمني ستيوارت بيك، الذي اكتشف الخلل، أن المشكلة الأساسية تنبع من استخدام jinja2.Environment() دون تفعيل خاصية "Sandbox" (البيئة المعزولة). وبدلاً من ذلك، كان ينبغي استخدام ImmutableSandboxedEnvironment لمنع تنفيذ التعليمات البرمجية غير المصرح بها.

هل هناك ثغرات مشابهة لـ CVE-2026-5760؟

لا تعد هذه المرة الأولى التي يواجه فيها عالم الذكاء الاصطناعي مثل هذه التهديدات، حيث تنتمي هذه الثغرة إلى نفس فئة الثغرات الشهيرة التالية:

• ثغرة CVE-2024-34359: المعروفة باسم Llama Drama، والتي أصابت حزمة llama_cpp_python.
• ثغرة CVE-2025-61620: التي تم إصلاحها في إطار عمل vLLM أواخر العام الماضي.

كيف يمكن حماية خوادم الذكاء الاصطناعي من الاختراق؟

لتجنب الوقوع ضحية لهذا الهجوم، يوصي الخبراء الأمنيون باتخاذ الخطوات التصحيحية التالية فوراً:

• استخدام ImmutableSandboxedEnvironment بدلاً من البيئة الافتراضية لـ Jinja2 عند معالجة قوالب الدردشة.
• تجنب تحميل نماذج GGUF من مصادر غير موثوقة أو غير معروفة.
• تحديث إطار عمل SGLang إلى أحدث نسخة متاحة فور صدور التصحيحات الأمنية.

في الختام، تبرز ثغرة CVE-2026-5760 التحديات الأمنية المتزايدة في تقنيات الذكاء الاصطناعي، مما يتطلب من المطورين والشركات تطبيق معايير صارمة لضمان سلامة البنية التحتية الرقمية ضد الهجمات المتطورة.