ثغرة "LeRobot" تهدد منصة هاجينج فيس للروبوتات بالاختراق

اكتشف خبراء ثغرة أمنية خطيرة في منصة ليروبوت من هاجينج فيس، تتيح للمهاجمين التحكم عن بعد في أنظمة الروبوتات دون الحاجة لبيانات اعتماد.

حذر باحثون في الأمن الرقمي من وجود خلل أمني حرج في منصة ليروبوت (LeRobot)، وهي منصة مفتوحة المصدر تابعة لشركة هاجينج فيس (Hugging Face) وتحظى بشعبية واسعة بين المطورين مع أكثر من 24 ألف نجمة على منصة جيت هاب. وتسمح هذه الثغرة للمهاجمين بتنفيذ أوامر برمجية عن بعد (RCE) بشكل كامل.

ما هي ثغرة منصة ليروبوت من هاجينج فيس؟

وفقاً لتقرير تيكبامين، تحمل الثغرة الرمز التعريفي CVE-2026-25874 وحصلت على تقييم خطورة يصل إلى 9.3 من أصل 10 درجات، مما يصنفها ضمن التهديدات "الحرجة جداً". تنبع المشكلة من طريقة تعامل النظام مع البيانات غير الموثوقة أثناء عملية التفكيك (Deserialization).

تكمن المشكلة التقنية في استخدام صيغة "pickle" غير الآمنة في معالجة البيانات عبر قنوات gRPC غير المشفرة، مما يفتح الباب أمام المهاجمين لإرسال حمولات برمجية خبيثة تؤدي إلى السيطرة على الخادم أو العميل المستخدم في تشغيل الروبوت.

تفاصيل الخطورة التقنية للثغرة:

• الهدف: خادم السياسات (Policy Server) وعميل الروبوت.
• الوسيلة: إرسال حمولة خبيثة عبر نداءات GetActions أو SendObservations.
• الصلاحيات: القدرة على تنفيذ أوامر نظام التشغيل بالكامل.

لماذا تعتبر ثغرة CVE-2026-25874 شديدة الخطورة؟

تعتبر هذه الثغرة "شديدة الخطورة" لأن أنظمة استدلال الذكاء الاصطناعي التي تعتمد عليها منصة ليروبوت تعمل عادةً بصلاحيات مرتفعة. يتيح هذا الارتفاع في الصلاحيات للمهاجم الوصول إلى موارد حساسة تشمل:

• الشبكات الداخلية للشركات والمختبرات.
• مجموعات البيانات الضخمة والحساسة.
• موارد الحوسبة المكلفة والقوية.

وكما ذكر تيكبامين، فإن استغلال هذه الثغرة قد لا يتطلب أي نوع من أنواع المصادقة، مما يعني أن أي مهاجم يمكنه الوصول إلى منفذ الشبكة الخاص بالخادم سيكون قادراً على شن الهجوم بنجاح.

ما هي الإصدارات المتأثرة وكيف يتم الإصلاح؟

تم التحقق من وجود الثغرة في الإصدار 0.4.3 من منصة ليروبوت، ولا تزال الثغرة غير مرقعة حتى لحظة كتابة هذا التقرير. وقد أشار الفريق المطور للمنصة في هاجينج فيس إلى أن العمل جارٍ على تحديث جذري وشامل للكود البرمجي المتأثر.

خارطة طريق الإصلاح:

• الإصدار المتأثر: LeRobot 0.4.3 وما قبله.
• الإصدار المستهدف للإصلاح: LeRobot 0.6.0.
• الوضع الحالي: قيد التطوير وإعادة الهيكلة.

أوضح ستيفن بالما، القائد التقني للمشروع، أن المنصة كانت في الأصل أداة للبحث والنماذج الأولية، ولذلك لم يكن التركيز على أمان النشر قوياً في بدايتها، لكن مع تزايد الاعتماد عليها في المشاريع الواقعية، أصبح إصلاح هذه الثغرة الأمنية أولوية قصوى للفريق التقني لضمان حماية المستخدمين.