سلسلة ثغرات LangGraph تعرض وكلاء الذكاء الاصطناعي للاختراق عن بعد

مقدمة تحليلية

في 12 يونيو 2026، كشفت شركة Check Point لأمن المعلومات عن تفاصيل ثلاث ثغرات أمنية حرجة تم إصلاحها الآن، والتي تؤثر بشكل مباشر على إطار عمل LangGraph مفتوح المصدر. يُعد LangGraph، الذي طورته LangChain، أداة محورية لبناء تطبيقات وكلاء الذكاء الاصطناعي (AI) المعقدة والمتعددة الوكلاء التي تتطلب إدارة للحالة. ومع ذلك، فإن هذه الثغرات، عند استغلالها في سلسلة واحدة، يمكن أن تؤدي إلى تنفيذ تعليمات برمجية عن بعد (RCE)، مما يضع وكلاء الذكاء الاصطناعي ذاتية الاستضافة تحت تهديد مباشر. تُمكن هذه السلسلة من الثغرات المهاجمين من السيطرة الكاملة على الخوادم التي تستضيف وكلاء الذكاء الاصطناعي المتأثرين، عبر استغلال نقاط ضعف في معالجة البيانات وإدارة الذاكرة. ووفقًا لـ Check Point، فإن هذا السيناريو يؤكد مجددًا على أن أدوات الذكاء الاصطناعي، على الرغم من قدراتها المتزايدة، لا تزال عرضة لفئات الثغرات الأمنية الكلاسيكية. من المهم الإشارة إلى أن منصة LangSmith Deployment المُدارة التابعة لـ LangChain لم تتأثر بهذه الثغرات، مما يسلط الضوء على الفروقات الأمنية بين الحلول ذاتية الاستضافة والحلول المُدارة.

التحليل التقني

تتألف سلسلة الثغرات المكتشفة من قبل الباحث الأمني ياردن بورات من ثلاثة عيوب رئيسية، اثنان منها يمكن ربطهما معًا لتحقيق تنفيذ تعليمات برمجية عن بعد (RCE) كاملة. تصف القائمة التالية الثغرات المحددة وتأثيرها:

• CVE-2025-67644 (نقاط CVSS: 7.3): ثغرة حقن SQL في تنفيذ LangGraph's SQLite checkpoint. تسمح هذه الثغرة للمهاجمين بالتلاعب باستعلامات SQL من خلال مفاتيح تصفية البيانات الوصفية (metadata filter keys). تؤثر على إصدارات `langgraph-checkpoint-sqlite` قبل 3.0.1.
• CVE-2026-28277 (نقاط CVSS: 6.8): ثغرة إلغاء تسلسل msgpack غير الآمن في LangGraph. يمكن استخدام هذا الضعف لإعادة بناء كائن ضار (object reconstruction) عند تحميل نقطة تحقق (checkpoint) يتم تعديلها من قبل المهاجم. تؤثر على إصدارات `langgraph` قبل 1.0.10.
• CVE-2026-27022 (نقاط CVSS: 6.5): ثغرة RediSearch Query Injection في `@langchain/langgraph-checkpoint-redis`. يمكن استغلالها لتجاوز ضوابط الوصول (access controls) في أنظمة Redis. تؤثر على إصدارات `@langchain/langgraph-checkpoint-redis` قبل 1.0.1.

تعتبر سلسلة الاستغلال الأكثر خطورة هي دمج CVE-2025-67644 و CVE-2026-28277. تستغل هذه السلسلة نقطة النهاية `get_state_history()` المعرضة في التطبيق، والتي تسمح للمهاجم باسترداد نقاط التحقق التاريخية بناءً على بياناتها الوصفية. خطوات الهجوم تتمثل في:

1. يُجهز المهاجم حمولة msgpack تحتوي على تعليمات لتنفيذ كود عشوائي.
2. يرسل المهاجم معلمة تصفية خبيثة تستغل ثغرة حقن SQL لإرجاع صف نقطة تحقق مزيف إلى نتائج استعلام قاعدة البيانات.
3. يحتوي عمود نقطة التحقق على بيانات متسلسلة يتحكم بها المهاجم.
4. عندما يقوم التطبيق بمعالجة نتائج الاستعلام، فإنه يقوم بإلغاء تسلسل BLOB الخاص بنقطة التحقق الخبيثة.
5. يستغل المهاجم ثغرة إلغاء التسلسل غير الآمن لتنفيذ حمولته، مما يمنحه تنفيذ تعليمات برمجية عن بعد (RCE) على الخادم المستهدف.

يُشار إلى أن هذه السلسلة قابلة للاستغلال في عمليات النشر ذاتية الاستضافة التي تستخدم SQLite أو Redis checkpointer مع مدخلات تصفية يتحكم فيها المستخدم.

السياق وتأثير السوق

إن الكشف عن هذه الثغرات في LangGraph يسلط الضوء على تحول خطير في مشهد التهديدات السيبرانية، حيث تصبح فئات الثغرات الأمنية الكلاسيكية، مثل حقن SQL وإلغاء التسلسل غير الآمن، أكثر فتكًا عند ظهورها داخل أطر عمل وكلاء الذكاء الاصطناعي. غالبًا ما تحمل هذه الأطر صلاحيات وصول ودرجة ثقة عالية داخل الأنظمة، مما يجعل اختراقها يؤدي إلى تعرض البيانات الحساسة أو حتى السيطرة الكاملة على البنية التحتية. تأثير هذا الكشف على السوق كبير، لا سيما بالنسبة للشركات والمطورين الذين يعتمدون على LangGraph لتطوير تطبيقات وكلاء الذكاء الاصطناعي ذاتية الاستضافة. بينما لا تتأثر منصات LangChain's managed platform (مثل LangSmith Deployment)، فإن الحاجة إلى تطبيق التحديثات الأمنية العاجلة تصبح ضرورية للمستخدمين ذاتيي الاستضافة. هذا الموقف يعيد التأكيد على أهمية تقييم المخاطر بعناية عند اختيار بين الحلول المدارة والحلول ذاتية الاستضافة، خاصة عندما يتعلق الأمر بتقنيات جديدة مثل وكلاء الذكاء الاصطناعي التي قد تتكامل بعمق مع الأنظمة الحساسة. يُبرز الحدث أن الأمان يجب أن يكون عنصرًا أساسيًا في تصميم وتطوير أي نظام يعتمد على الذكاء الاصطناعي، وليس مجرد إضافة لاحقة.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُعد ثغرات LangGraph درسًا قيمًا في تطور تهديدات الأمن السيبراني مع التقدم السريع للذكاء الاصطناعي. على الرغم من أن LangGraph وصف CVE-2026-28277 بأنها مشكلة ما بعد الاستغلال تتطلب القدرة على كتابة بيانات نقطة تحقق يتحكم فيها المهاجم، فإن القدرة على تصعيد الوصول من مجرد التلاعب ببيانات التخزين إلى تنفيذ تعليمات برمجية كاملة (RCE) تمثل خطرًا أمنيًا بالغًا. تكمن المخاوف الأمنية الرئيسية في أن استغلال هذه الثغرات يمكن أن يكشف عن أسرار وقت التشغيل (runtime secrets) أو يوفر وصولاً غير مصرح به إلى أنظمة أخرى يمكن لوكيل الذكاء الاصطناعي الوصول إليها. ورغم أن LangGraph يشير إلى أن التكوينات المستضافة النموذجية مصممة لمنع مثل هذا الوصول، فإن الواقع غالبًا ما يكون أكثر تعقيدًا في البيئات ذاتية الاستضافة. لذلك، توصي Glitch4Techs بشدة جميع المستخدمين بتطبيق أحدث الإصلاحات والتحديثات التي أصدرتها LangGraph فورًا. علاوة على ذلك، ننصح باتخاذ إجراءات وقائية إضافية حاسمة:

• تطبيق المصادقة (authentication) القوية على جميع خوادم LangGraph ذاتية الاستضافة.
• تجنب استخدام الأسرار الثابتة طويلة الأمد (long-lived static secrets) واستبدالها بحلول إدارة الأسرار الديناميكية.
• فرض تجزئة الشبكة (network segmentation) لعزل وكلاء الذكاء الاصطناعي والأنظمة المرتبطة بهم عن بقية البنية التحتية.
• معاملة وكلاء الذكاء الاصطناعي كهويات ذات امتيازات (privileged identities) وتطبيق الضوابط الأمنية المناسبة.
• تطبيق مبدأ الحد الأدنى من الامتيازات (Principle of Least Privilege - PoLP) للحد من بصمة الوصول للوكيل ومنع الوصول غير الضروري إلى الموارد.

في ظل النمو المتسارع لتطبيقات الذكاء الاصطناعي، يجب أن يكون التركيز على الأمن الاستباقي والتحديثات المستمرة حجر الزاوية في أي استراتيجية نشر.