رسالة أخبار البوابة، 21 أبريل — كشفت شركة الأمان OX Security عن ثغرة (إتاحة تنفيذ تعليمات عن بُعد) على مستوى التصميم في (MCP )نموذج بروتوكول سياق النموذج(، وهو المعيار المفتوح لعملاء الذكاء الاصطناعي لاستدعاء أدوات خارجية، والذي تقوده Anthropic. يمكن للمهاجمين تنفيذ أوامر تعسفية على أي نظام يعمل بتطبيق MCP عرضة للخطر، والحصول على بيانات المستخدم وقواعد البيانات الداخلية ومفاتيح API وسجلات المحادثات.
لا تعود هذه المشكلة إلى أخطاء في التنفيذ، بل إلى السلوك الافتراضي في حزمة تطوير البرامج الرسمية من Anthropic عند التعامل مع نقل STDIO — وهو ما يؤثر على إصدارات Python وTypeScript وJava وRust. تقوم StdioServerParameters في حزمة تطوير البرامج الرسمية بإطلاق عمليات فرعية مباشرة بناءً على معلمات أمر التكوين؛ وبدون تنقية إضافية لإدخال المستخدم من قبل المطورين، يصبح أي إدخال من المستخدم يصل إلى هذه المرحلة أمراً للنظام. حددت OX Security أربعة مسارات للهجوم: حقن أوامر مباشر عبر واجهات التكوين، والتحايل على التنقية باستخدام وسوم أو أعلام أوامر مدرجة ضمن القائمة المسموح بها )مثل npx -c ، وحقن الأوامر داخل بيئات التطوير المتكاملة لإعادة كتابة ملفات تهيئة MCP للأدوات مثل Windsurf لتشغيل خدمات STDIO خبيثة دون تدخل المستخدم، وإدخال تهيئات STDIO عبر طلبات HTTP في أسواق MCP.
وفقًا لـ OX Security، تم تنزيل الحزم المتأثرة أكثر من 150 مليون مرة، مع وجود 7,000+ من خوادم MCP المتاحة علنًا تعرض ما يصل إلى 200,000 مثيل عبر أكثر من 200 مشروع مفتوح المصدر. قدم الفريق 30+ بلاغًا مسؤولا، ما أدى إلى وجود 10+ ثغرات CVE ذات شدة عالية أو حرجة تغطي أطر عمل الذكاء الاصطناعي وبيئات التطوير المتكاملة بما في ذلك LiteLLM وLangFlow وFlowise وWindsurf وGPT Researcher وAgent Zero وDocsGPT؛ ويمكن أن تتعرض 9 من 11 مستودعًا من مستودعات حزم MCP التي تم اختبارها للخطر باستخدام هذه التقنية.
ردت Anthropic بأن هذا “مصمم هكذا”، واصفة نموذج تنفيذ STDIO بأنه “تصميم افتراضي آمن”، ونقلت مسؤولية تنقية المدخلات إلى المطورين، رافضة تعديل البروتوكول أو حزمة تطوير البرامج الرسمية. على الرغم من أن DocsGPT وLettaAI قد أصدرتا تحديثات لإصلاح المشكلة، فإن تنفيذ Anthropic المرجعي لا يزال دون تغيير. ومع تحول MCP إلى المعيار بحكم الواقع لوكلاء الذكاء الاصطناعي الذين يصلون إلى أدوات خارجية — متبوعًا بـ OpenAI وGoogle وMicrosoft — يمكن لأي خدمة MCP تستخدم النهج الافتراضي لـ STDIO في حزمة تطوير البرامج الرسمية أن تصبح مسارًا للهجوم، حتى إذا كتب المطورون كودًا خاليًا من الأخطاء.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
مشروع AI في منظومة WLFI من شركة WorldClaw يطلق نظام تشغيل للعاملين بالوكالة، دون الكشف عن العلامة التجارية: هل لا يزال بوسعه البيع مقابل 10,000 دولار؟
عائلة ترامب تُطلق مرة أخرى تحركات جديدة في مشروعها التشفيري World Liberty Financial (WLFI)، بالتعاون مع WorldClaw لإطلاق نموذج الذكاء الاصطناعي كمدخل موحد بعنوان WorldRouter. ويُروَّج له كمنصة للـوكلاء تهدف إلى دمج 300 نموذج ذكاء اصطناعي، وتصل أعلى باقات الدفع إلى ما يقارب 10 آلاف دولار، لكن الهدية المرفقة هي جهاز عتاد «غير مُعلن عن الشركة المصنّعة ونظام التشغيل»، ما أثار مخاوف لدى المراقبين.
@WorldClawAI is expanding access to AI and $WLFI plays a key role in the ecosystem. Users can access 300+ models with WorldRouter, and agents can
ChainNewsAbmediaمنذ 57 د
تطوّر شركة Meta مساعدًا ذكاءً اصطناعيًا باسم Hatch يَستهدف منافسة OpenClaw، على أن يتم الانتهاء من الاختبارات الداخلية بحلول نهاية يونيو
أفادت صحيفة «فاينانشال تايمز» في 5 مايو أن «ميتا» تعمل على تطوير مساعد ذكاء اصطناعي موجّه للمستهلكين (Hatch)، مستوحى من OpenClaw التابعة لـ OpenAI، بهدف إتمام الاختبارات الداخلية بحلول نهاية يونيو؛ كما تخطط «ميتا» لدمج أداة مستقلة للتسوق بنمط الوكلاء ضمن خدمات «إنستغرام» قبل الربع الرابع من هذا العام.
MarketWhisperمنذ 1 س
Cloudflare: حركة المرور غير البشرية باتت تشكل الأغلبية الآن، و402 عنوانًا ضمن مؤسسة x402 تعكس اقتصاد الويب
صرّح كبير مسؤولي الاستراتيجية لدى Cloudflare بأن أكثر من نصف حركة مرور الإنترنت أصبحت غير بشرية، مشيراً إلى تحوّل في أنماط استخدام الويب مدفوعاً بعوامل الذكاء الاصطناعي. وتُشير الشركة إلى مؤسسة x402 باعتبارها مبادرة رئيسية تعمل على بناء بنية تحتية لدعم اقتصاد مستدام للمحتوى الرقمي
CryptoFrontierمنذ 3 س
شركات هندية للأمن السيبراني تستخدم الذكاء الاصطناعي لتقليص اختبار الثغرات إلى ساعات
تقوم شركات الأمن السيبراني الهندية، بما في ذلك Indusface وAstra Security، باعتماد وكلاء ذكاء اصطناعي مبنية على النماذج اللغوية الكبيرة لتسريع اختبار الثغرات الأمنية في البرمجيات من أيام أو أسابيع إلى ساعات، وفقاً لصحيفة The Economic Times. ويعكس هذا التحول تزايد سرعة المهاجمين وقدرة أدوات الذكاء الاصطناعي الناشئة على
CryptoFrontierمنذ 3 س
تلميح (Hive Intelligence) ارتفاع قياسي خلال 24 ساعة بنسبة 60.25%
جيت نيوز، 6 مايو، بحسب بيانات Gate للأسعار، عند وقت إعداد هذا التقرير، تتداول HINT (Hive Intelligence) عند 0.001695 دولار، وقد ارتفعت بنسبة 60.25% خلال 24 ساعة، وبلغت أعلى مستوى عند 0.0019 دولار، بينما تراجعت إلى 0.0010577 دولار كأدنى مستوى. وبلغ حجم التداول خلال 24 ساعة 10.01 ألف دولار. وتبلغ القيمة السوقية الحالية نحو 78.14 ألف دولار.
تُعد Hive Intelligence طبقة البنية التحتية لتطبيقات وكلاء الذكاء الاصطناعي، حيث توفر واجهة برمجة تطبيقات موحّدة لبيانات بلوكتشين الفورية. كما تلغي حالة تشرذم البيانات، ما يتيح لوكلاء الذكاء الاصطناعي إجراء الاستعلام والتفاعل على السلسلة دون عناء. وباعتبارها بنية تحتية مؤسسية لسوق التشفير، توفر Hive Intelligence عبر نقاط نهاية MCP وREST A
GateNewsمنذ 3 س
أطلقت Anthropic 10 وكلاء ذكاء اصطناعي ماليين، متكاملين مع Microsoft 365 لمعالجة الأعمال المالية بسهولة
طرحت شركة Anthropic 10 قوالب لوكلاء ذكاء اصطناعي متخصصين في التمويل، مع دمج شركاء في البيانات مثل Microsoft 365 وMoody’s وD&B، ويمكن استخدامها كإضافات أو بجدولة تلقائية. تُقسّم القوالب إلى نوعين: أبحاث/خدمة العملاء وأعمال مالية، وتشمل مجالات مثل الاستثمار والبحث، والنمذجة المالية، وKYC، كما تتضمن إدراج تصنيفات Moody’s. تتصدر Claude Opus 4.7 قائمة أفضل النماذج في معايير وكلاء التمويل، ما يشير إلى أن المواهب في القطاع المالي وأطر التنظيم ستتأثر.
ChainNewsAbmediaمنذ 3 س
