ثغرة Langflow CVE-2026-33017: استغلال خلال 20 ساعة يهدد أنابيب الذكاء الاصطناعي في المؤسسات المالية

كشفت شركة Sysdig للأمن السحابي عن موجة هجمات استهدفت منصة Langflow مفتوحة المصدر للذكاء الاصطناعي خلال 20 ساعة فقط من نشر تفاصيل الثغرة CVE-2026-33017 ذات التصنيف الحرج CVSS 9.3، حيث نجح المهاجمون في تنفيذ أوامر عن بُعد بدون أي مصادقة وسرقة مفاتيح سحابية وبيانات اعتماد من خوادم مكشوفة حول العالم.

ما هي ثغرة Langflow CVE-2026-33017 وكيف تعمل؟

Langflow هي منصة مفتوحة المصدر تُستخدم لبناء وإدارة أنابيب الذكاء الاصطناعي (AI Pipelines) وتطبيقات النماذج اللغوية الكبيرة (LLMs). تكمن الثغرة في نقطة النهاية POST /api/v1/build_public_tmp/{flow_id}/flow التي تسمح ببناء التدفقات العامة دون الحاجة إلى مصادقة. عند تمرير معامل data يحتوي كود Python خبيث ضمن تعريفات العُقد، يُمرَّر هذا الكود مباشرة إلى دالة exec() بدون أي حماية أو صندوق رمل (sandbox)، مما يمنح المهاجم تنفيذ أوامر كاملة على الخادم بطلب HTTP واحد فقط.

تؤثر الثغرة على جميع إصدارات Langflow حتى الإصدار 1.8.1 وما قبله. والأخطر أن أبحاث JFrog الأمنية كشفت أن حتى الإصدار "المصحح" لا يزال قابلاً للاستغلال بأساليب تجاوز بديلة، مما يرفع درجة الخطورة إلى مستوى استثنائي.

تسلسل الهجوم: من الكشف إلى الاستغلال في 20 ساعة

رصدت Sysdig أول محاولات الاستغلال بعد 20 ساعة فقط من نشر التحذير الأمني في 17 مارس 2026، وذلك قبل وجود أي كود استغلال علني (PoC). بنى المهاجمون أدوات الاستغلال مباشرة من وصف الثغرة في التحذير الأمني وبدأوا مسح الإنترنت بحثاً عن خوادم Langflow المكشوفة.

جاء الهجوم على ثلاث مراحل متصاعدة: المرحلة الأولى شملت مسحاً جماعياً من أربعة عناوين IP بحمولة موحدة لتحديد الخوادم المصابة. المرحلة الثانية انتقلت إلى استطلاع نشط باستخدام بنية تحتية مُعدّة مسبقاً لنشر حمولات بعد التحقق من الهدف. أما المرحلة الثالثة فشهدت تسريب البيانات الفعلي عبر سكربتات مخصصة ترسل المعلومات المسروقة إلى خادم تحكم وسيطرة (C2) واحد.

البيانات المسروقة: مفاتيح السحابة وبيانات الاعتماد الحساسة

ركّز المهاجمون على حصاد بيانات الاعتماد بشكل منهجي، وشملت المعلومات المسروقة: مفاتيح الوصول إلى خدمات AWS وAzure وGCP، بيانات اتصال قواعد البيانات، مفاتيح API للخدمات المتكاملة مع أنابيب الذكاء الاصطناعي، مفاتيح SSH الخاصة، وملفات التكوين الحساسة. هذا النوع من الاختراق يمنح المهاجمين بوابة لسلسلة توريد البرمجيات بالكامل، حيث يمكنهم التحرك أفقياً عبر البنية التحتية السحابية للمؤسسة المستهدفة.

لماذا يجب أن تقلق المؤسسات المالية السعودية؟

تتسارع وتيرة تبني المؤسسات المالية السعودية لتقنيات الذكاء الاصطناعي ضمن رؤية 2030، ومنصات مثل Langflow تُستخدم في بناء أنظمة تحليل المخاطر الائتمانية، كشف الاحتيال، وأتمتة خدمة العملاء. اختراق أنبوب ذكاء اصطناعي يعالج بيانات مالية يعني تسريب معلومات عملاء محمية بنظام حماية البيانات الشخصية (PDPL) وانتهاك متطلبات SAMA CSCC في ضوابط إدارة الأصول التقنية والتحكم في الوصول.

يشترط إطار SAMA CSCC في مجال إدارة الثغرات الأمنية (Vulnerability Management) أن تُطبّق التحديثات الأمنية الحرجة خلال إطار زمني لا يتجاوز 72 ساعة من الإعلان عنها. ثغرة بتصنيف CVSS 9.3 تُستغل فعلياً تقع حتماً ضمن هذا التصنيف، وأي تأخير في المعالجة يُعرّض المؤسسة لمخالفات تنظيمية. كذلك يُلزم إطار NCA ECC المؤسسات بتقييم مخاطر الأدوات مفتوحة المصدر قبل نشرها في بيئات الإنتاج، وهو ما تتجاوزه كثير من فرق التطوير عند تبني أدوات AI الجديدة.

التوصيات والخطوات العملية

1. جرد فوري لمنصات AI: نفّذ مسحاً شاملاً لتحديد أي نسخة من Langflow أو منصات AI مشابهة تعمل في بيئتك، سواء في مراكز البيانات أو على السحابة. استخدم أدوات مسح مثل Nuclei أو Shodan لكشف النسخ المكشوفة على الإنترنت.
2. ترقية Langflow فوراً مع التحقق: حدّث إلى أحدث إصدار متاح، لكن لا تعتمد على التحديث وحده — طبّق اختبار اختراق يدوي للتأكد من عدم وجود مسارات تجاوز بديلة كما كشفت JFrog.
3. عزل أنابيب AI عن الإنترنت: لا يجب أن تكون نقاط نهاية بناء التدفقات متاحة علنياً. ضعها خلف جدار حماية تطبيقات الويب (WAF) وشبكة VPN مع مصادقة متعددة العوامل (MFA).
4. تدوير جميع بيانات الاعتماد المرتبطة: إذا كانت لديك نسخة Langflow مكشوفة، افترض أن جميع المفاتيح والأسرار المخزنة فيها مسربة. دوّر مفاتيح AWS/Azure/GCP، بيانات قواعد البيانات، مفاتيح API، ومفاتيح SSH فوراً.
5. مراجعة سياسة الأدوات مفتوحة المصدر: حدّث سياسة استخدام البرمجيات مفتوحة المصدر وفق متطلبات NCA ECC لتشمل تقييم مخاطر أمني إلزامي لكل أداة AI قبل نشرها، مع مراجعة دورية كل 90 يوماً.
6. تفعيل مراقبة سلوكية لأنابيب AI: انشر حلول Runtime Application Self-Protection (RASP) أو EDR متخصصة لمراقبة استدعاءات exec() وspawn() غير الطبيعية في بيئات Python التي تشغّل أدوات AI.

الخلاصة

ثغرة Langflow CVE-2026-33017 ليست مجرد خلل تقني في أداة مفتوحة المصدر — إنها تحذير واضح بأن أنابيب الذكاء الاصطناعي أصبحت سطح هجوم جديد لم تُصمم له معظم ضوابط الأمن التقليدية. سرعة الاستغلال (20 ساعة) تؤكد أن المهاجمين يراقبون تحذيرات الثغرات بنفس دقة فرق الأمن، والمؤسسات التي تتأخر في الاستجابة تدفع الثمن من بيانات عملائها وسمعتها التنظيمية.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC يشمل مراجعة أمن أدوات الذكاء الاصطناعي والبرمجيات مفتوحة المصدر في بيئتك.