رسالة أخبار البوابة، 21 أبريل — كشفت شركة الأمان OX Security عن ثغرة (إتاحة تنفيذ تعليمات عن بُعد) على مستوى التصميم في (MCP )نموذج بروتوكول سياق النموذج(، وهو المعيار المفتوح لعملاء الذكاء الاصطناعي لاستدعاء أدوات خارجية، والذي تقوده Anthropic. يمكن للمهاجمين تنفيذ أوامر تعسفية على أي نظام يعمل بتطبيق MCP عرضة للخطر، والحصول على بيانات المستخدم وقواعد البيانات الداخلية ومفاتيح API وسجلات المحادثات.
لا تعود هذه المشكلة إلى أخطاء في التنفيذ، بل إلى السلوك الافتراضي في حزمة تطوير البرامج الرسمية من Anthropic عند التعامل مع نقل STDIO — وهو ما يؤثر على إصدارات Python وTypeScript وJava وRust. تقوم StdioServerParameters في حزمة تطوير البرامج الرسمية بإطلاق عمليات فرعية مباشرة بناءً على معلمات أمر التكوين؛ وبدون تنقية إضافية لإدخال المستخدم من قبل المطورين، يصبح أي إدخال من المستخدم يصل إلى هذه المرحلة أمراً للنظام. حددت OX Security أربعة مسارات للهجوم: حقن أوامر مباشر عبر واجهات التكوين، والتحايل على التنقية باستخدام وسوم أو أعلام أوامر مدرجة ضمن القائمة المسموح بها )مثل npx -c ، وحقن الأوامر داخل بيئات التطوير المتكاملة لإعادة كتابة ملفات تهيئة MCP للأدوات مثل Windsurf لتشغيل خدمات STDIO خبيثة دون تدخل المستخدم، وإدخال تهيئات STDIO عبر طلبات HTTP في أسواق MCP.
وفقًا لـ OX Security، تم تنزيل الحزم المتأثرة أكثر من 150 مليون مرة، مع وجود 7,000+ من خوادم MCP المتاحة علنًا تعرض ما يصل إلى 200,000 مثيل عبر أكثر من 200 مشروع مفتوح المصدر. قدم الفريق 30+ بلاغًا مسؤولا، ما أدى إلى وجود 10+ ثغرات CVE ذات شدة عالية أو حرجة تغطي أطر عمل الذكاء الاصطناعي وبيئات التطوير المتكاملة بما في ذلك LiteLLM وLangFlow وFlowise وWindsurf وGPT Researcher وAgent Zero وDocsGPT؛ ويمكن أن تتعرض 9 من 11 مستودعًا من مستودعات حزم MCP التي تم اختبارها للخطر باستخدام هذه التقنية.
ردت Anthropic بأن هذا “مصمم هكذا”، واصفة نموذج تنفيذ STDIO بأنه “تصميم افتراضي آمن”، ونقلت مسؤولية تنقية المدخلات إلى المطورين، رافضة تعديل البروتوكول أو حزمة تطوير البرامج الرسمية. على الرغم من أن DocsGPT وLettaAI قد أصدرتا تحديثات لإصلاح المشكلة، فإن تنفيذ Anthropic المرجعي لا يزال دون تغيير. ومع تحول MCP إلى المعيار بحكم الواقع لوكلاء الذكاء الاصطناعي الذين يصلون إلى أدوات خارجية — متبوعًا بـ OpenAI وGoogle وMicrosoft — يمكن لأي خدمة MCP تستخدم النهج الافتراضي لـ STDIO في حزمة تطوير البرامج الرسمية أن تصبح مسارًا للهجوم، حتى إذا كتب المطورون كودًا خاليًا من الأخطاء.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
منشئو AI16Z وELIZAOS يواجهون دعوى قضائية جماعية بشأن الإعلانات الكاذبة والإثراء غير المشروع
رسالة أخبار البوابة، 21 أبريل — قدمت شركة Burwick Law دعوى قضائية جماعية اتحادية في محكمة الولايات المتحدة الجزئية للمنطقة الجنوبية من نيويورك (SDNY) ضد منشئي AI16Z وELIZAOS، بما في ذلك Walters، مدعيةً انتهاكات قوانين حماية المستهلك، والإعلانات الكاذبة، والإثراء غير المشروع
GateNewsمنذ 2 س
كُوبو تطلق محفظة وكيلة مدعومة بالذكاء الاصطناعي تدعم أكثر من 80 بلوكتشين مع أمان الحوسبة متعددة الأطراف
رسالة أخبار Gate، 21 أبريل — كشفت شركة كُوبو لحفظ الأصول الرقمية، ومقرها سنغافورة، عن Cobo Agentic Wallet في 20 أبريل، وهو منتج جديد مصمم لتمكين أنظمة الذكاء الاصطناعي من تنفيذ معاملات بلوكتشين بشكل مستقل ضمن إطار آمن ومتحكم به. تتيح المحفظة
GateNewsمنذ 3 س
OpenAI تُعد ميزة Agents لـ ChatGPT، تحمل الاسم الرمزي Hermes
رسالة أخبار Gate، 21 أبريل — تستعد OpenAI لإطلاق ميزة جديدة للـ Agents في ChatGPT، تحمل الاسم الرمزي "Hermes"، وفقًا لـ Tibor Blaho، الذي يتابع تحديثات منتجات الذكاء الاصطناعي. تتضمن الميزة أداة بناء agents جديدة باسم "studio" تتيح للمستخدمين إنشاء agents من القوالب، وجدولة عمليات التشغيل، و
GateNewsمنذ 4 س
مؤسسة 0G تتعاون مع Alibaba Cloud لإتاحة Qwen LLM على السلسلة لوكلاء الذكاء الاصطناعي
بوابة الأخبار، 21 أبريل — عقدت مؤسسة 0G شراكة مع Alibaba Cloud لدمج سلسلة نماذج اللغة الكبيرة Qwen على السلسلة. ومن خلال آلية مُرمّزة بالرموز، يمكن للمطورين تضمين وصول مباشر إلى Qwen داخل بنيتهم التحتية، ما يلغي الحاجة إلى إدارة الحسابات التقليدية والتسوية بالعملات الورقية، مع تمكين الوصول البرمجي عند الطلب إلى حوسبة الذكاء الاصطناعي. في هذا التصميم، يتم تنفيذ الاستدلال على Qwen بينما تتم معالجة التحقق بواسطة 0G، لتأسيس أساس حوسبي وثقة للأنظمة الذاتية للذكاء الاصطناعي.
يمكن للمطورين الآن الاستفادة من طبقة البيانات القابلة للتحقق لدى 0G لبناء سير عمل لوكلاء متعدد الخطوات بنسبة 100% قابلة للتدقيق. تم تحسين إصدار Qwen 3.6 الأحدث للذكاء الاصطناعي الوكيلي، حيث يوفر دعمًا قويًا للاستدلال لوكلاء الذكاء الاصطناعي في الأنظمة اللامركزية. يتيح هذا التعاون لوكلاء الذكاء الاصطناعي المستقلين الوصول إلى نماذج من المستوى الأعلى مباشرة عبر سلسلة الكتل.
يمثل هذا الشراكة تحولًا في بنية تحتية للذكاء الاصطناعي من نماذج واجهات برمجة التطبيقات التقليدية إلى أنظمة قابلة للبرمجة ومُرمّزة بالرموز. ومع توسع قدرات الذكاء الاصطناعي على السلسلة، يحصل المطورون على أدوات جديدة لإنشاء تطبيقات ذكاء اصطناعي لامركزية وقابلة للتحقق.
GateNewsمنذ 5 س
إصدار Nvidia OpenShell للإصدار v0.0.33 مع مُشغّل MicroVM libkrun لعمليات عزل وكلاء الذكاء الاصطناعي
رسالة أخبار البوابة، 21 أبريل — وفقًا للرصد الذي أجرته Beating، أطلقت منصة وقت تشغيل حاوية عزل وكلاء الذكاء الاصطناعي المفتوحة المصدر من Nvidia OpenShell مؤخرًا الإصدار v0.0.33. يتضمن التحديث libkrun، وهو مُشغّل microVM خفيف يعتمد على KVM، إلى جانب ميزات أمان مُعززة
GateNewsمنذ 6 س
ProCap Financial تتعاون مع Kalshi لإطلاق خدمة أبحاث أسواق تنبؤات مدعومة بالذكاء الاصطناعي
رسالة أخبار Gate، 21 أبريل — شركة ProCap Financial، التي أسسها رائد أعمال في مجال العملات المشفرة Anthony Pompliano، دخلت في شراكة مع Kalshi، وهي مشغّل سوق تنبؤات، لإطلاق خدمة بحثية تركز على تحليل أسواق التنبؤات. تستفيد الخدمة من خط بيانات Kalshi ووكلاء الذكاء الاصطناعي لدى ProCap لتزويد
GateNewsمنذ 6 س
