عميل ذكاء اصطناعي يستغل ثغرة Marimo لسرقة قواعد البيانات

مقدمة تحليلية

في العاشر من مايو 2026، سجلت شركة الأمن السحابي Sysdig نقطة تحول تاريخية في مشهد التهديدات السيبرانية؛ حيث تم رصد جهة فاعلة مجهولة تستخدم عميلاً يعتمد على النماذج اللغوية الكبيرة (LLM Agent) لإدارة وتنفيذ هجوم كامل ومؤتمت بالكامل لما بعد الاختراق (Post-Exploitation). بدأت العملية باختراق نظام Marimo المفتوح للمفكرات التفاعلية المعتمدة على لغة Python، والمكشوف على شبكة الإنترنت، وذلك من خلال استغلال الثغرة الأمنية الحرجة التي تم الكشف عنها مؤخراً والمصنفة تحت الرمز CVE-2026-39987. ولم يكن هذا الهجوم مجرد محاولة برمجية تقليدية، بل أظهر دقة متناهية وسرعة مذهلة في التكيف مع تضاريس البيئة المستهدفة دون أي تَدخُّل بشري مباشر. الخطورة الفائقة لهذا الهجوم لا تكمن فقط في سرعة التنفيذ، بل في قدرة العميل الذكي على قراءة معطيات البيئة والارتجال الفوري للوصول إلى الأهداف الحساسة. ففي غضون دقائق معدودة من نجاح الاختراق الأولي، استطاع المهاجم سحب بيانات الاعتماد السحابية الخاصة بـ AWS، ومن ثم استغلالها للولوج إلى نظام إدارة الأسرار AWS Secrets Manager واسترجاع مفتاح SSH خاص. هذا المفتاح مهد الطريق لإطلاق ثماني جلسات متوازية استهدفت خادم عبور (Bastion Server) داخلي، وانتهت العملية بالاستيلاء الكامل على قاعدة بيانات PostgreSQL داخلية وهندستها وسحب كامل محتوياتها في أقل من دقيقتين.

التحليل التقني

لفهم الآلية المعقدة التي اعتمد عليها عميل الذكاء الاصطناعي، يجب تفكيك الخطوات البرمجية الدقيقة وثغرة الدخول الأساسية:

• ثغرة البداية (CVE-2026-39987): هي ثغرة تنفيذ تعليمات برمجية عن بُعد (RCE) حاسمة وقبل مرحلة المصادقة (Pre-authentication)، تؤثر على جميع إصدارات مفكرات Marimo التي تسبق وتتضمن الإصدار 0.20.4. تمكن هذه الثغرة المهاجمين غير المصرح لهم من تشغيل أوامر برمجية عشوائية على مستوى النظام المضيف. وبالرغم من معالجة المشكلة وإطلاق الإصدار الرقيع 0.23.0، إلا أن الأنظمة غير المحدثة ظلت مكشوفة بالكامل.
• سحب المفاتيح والولوج السحابي: بمجرد تنفيذ الأمر البرمجي الأول، استخرج العميل الذكي مفتاحي اعتماد خاصين ببيئة AWS من المضيف المخترق. وبدلاً من إرسال الطلبات مباشرة، قام بإعادة تشغيلها وتوجيهها عبر حوض خروج متشعب (Fanned-out egress pool) للالتفاف على أدوات المراقبة واستدعاء واجهات برمجة التطبيقات (APIs) للوصول إلى خدمة AWS Secrets Manager وسحب مفاتيح SSH الخاصة بالبنية التحتية.
• إطلاق الجلسات المتوازية وسرقة البيانات: استخدم عميل الذكاء الاصطناعي مفتاح SSH المسترد لتأكيد الهوية على خادم Bastion، ومن ثم فتح 8 جلسات SSH متزامنة وقصيرة المدى للوصول إلى قاعدة بيانات PostgreSQL داخلية مخفية تماماً وخارج النطاق العام، وسحب كامل بياناتها وجداولها دون أي إعداد مسبق.

وقد حدد خبراء Sysdig أربعة مؤشرات تقنية واضحة تثبت قيادة العميل الذكي (LLM Agent) لهذه الهجمات بمرونة لا تتوفر في البرمجيات النصية التقليدية:

• أولاً: الارتجال المعرفي لقواعد البيانات: نجح العميل في التسلل وتحديد موقع خادم PostgreSQL رغم أن اسم الخادم كان غامضاً ومبهماً (Opaque) ولم يكن هناك أي تلميح للتطبيق على القرص الصلب أو تفريغ مسبق للهيكل (Schema Dump). ومع ذلك، استطاع العميل الوصول إلى جدول كلمات المرور والبيانات الحساسة خلال دقائق معدودة.
• ثانياً: تسريب تعليقات التخطيط الذاتي: رصدت أنظمة المراقبة تسريباً مباشراً لتعليق باللغة الصينية '看还能做什么' (والذي يترجم حرفياً إلى: 'دعنا نرى ما الذي يمكننا فعله أيضاً') داخل مجرى الأوامر البرمجية أثناء البحث الذاتي عن ملفات الاعتماد، وهو نمط تفكير متأصل في تدريب نماذج LLM الموجهة لحل المشكلات برمجياً.
• ثالثاً: تهيئة المخرجات للاستهلاك الآلي: تمت صياغة جميع الأوامر بطريقة مخصصة للقراءة من قبل الآلة؛ حيث تم استخدام فواصل واضحة ومحددة مثل '---' لفصل المخرجات، وتقييد حجم مخرجات الاستعلامات، وتعطيل أمر الاستعراض التفاعلي less، بالإضافة إلى توجيه تدفق الأخطاء (stderr) إلى العدم لتقليل الضوضاء البرمجية.
• رابعاً: نقل القيم التراكمي (Value Handoff): أظهرت سجلات النظام كيف يقوم الوكيل بتغذية مخرجات الأدوات السابقة في مدخلات الأوامر التالية ذاتياً. على سبيل المثال، يقوم بتنفيذ أمر ls للتأكد من وجود ملف المفتاح السري ~/.ssh/id_ed25519 قبل تشغيل أمر cat لقراءة محتوياته، وهو نمط متسلسل مألوف في سلوك الوكلاء الأذكياء.

السياق وتأثير السوق

تاريخياً، كانت الهجمات المؤتمتة تعتمد بشكل كامل على البرمجيات النصية الجاهزة (Scripts) ومجموعات اللعب (Playbooks) المصممة مسبقاً. تكمن المعضلة الأساسية في هذه الأدوات التقليدية في جمودها؛ فإذا واجه النص البرمجي جدار حماية غير متوقع، أو اسماً مختلفاً لملف التكوين، أو غياباً لملف متوقع، فإنه يفشل على الفور ويتوقف الهجوم أو يتطلب تدخلاً بشرياً لتعديل الكود. مع دخول عملاء الذكاء الاصطناعي خط المواجهة، تغيرت المعادلة تماماً في السوق الأمنية. التكلفة الحقيقية للمهاجمين لم تعد تقاس بساعات العمل الهندسي المخصصة لكتابة سيناريوهات الاختراق المخصصة لكل مستهدف، بل أصبحت تقاس بميزانية الاستدلال (Inference Budget) المستهلكة لتشغيل النموذج اللغوي. يتيح هذا التحول للمهاجمين بناء هجمات عالية التكيف وواسعة النطاق وقادرة على قراءة الأخطاء البرمجية بشكل حي ومباشر، واتخاذ القرارات البديلة لتجاوز العقبات دون توقف، مما يهدد بانهيار فاعلية أنظمة الكشف التقليدية التي تعتمد على القواعد الجامدة.

رؤية Glitch4Techs

إن هذا الاختراق الموثق يمثل جرس إنذار حقيقي لفرق الدفاع السيبراني حول العالم. لم يعد الذكاء الاصطناعي مجرد أداة لتوليد رسائل التصيد الاحتيالي أو المساعدة في كتابة الأكواد، بل أصبح 'العقل المدبر' والقائد الفعلي للعمليات على الأرض (Agent-in-the-loop). إن قدرة الوكيل الذكي على قراءة 'المفاجآت' داخل البيئة الرقمية، مثل فشل المصادقة أو تغيير مسارات الملفات، وتحليلها لإيجاد حل بديل في ثوانٍ، تعني أن وقت الاستجابة البشرية المعتاد للهجمات أصبح غير ذي جدوى. تتوقع Glitch4Techs أن تشهد الفترة القادمة تصاعداً هائلاً في الهجمات التي يقودها وكلاء الذكاء الاصطناعي المستقلون، مما يتطلب إعادة صياغة شاملة لاستراتيجيات الدفاع. يجب على الشركات التحول الفوري نحو آليات الدفاع النشط القائمة على الذكاء الاصطناعي المضاد، والتركيز على تقييد الصلاحيات بشكل صارم (Zero Trust Access). لم تعد حماية المحيط كافية؛ فإذا نجح وكيل ذكي في التسلل عبر ثغرة مثل CVE-2026-39987، فإنه سيعيد رسم خريطة شبكتك الداخلية في دقائق ويسرق أسرارك قبل أن تصل التنبيهات إلى صندوق البريد الخاص بمسؤول الأمن السيبراني. ننصح وبشدة بالتحديث الفوري لبيئات العمل التي تستخدم Marimo إلى الإصدار 0.23.0 أو أعلى، والتدقيق الشامل لملفات الاعتماد ومفاتيح SSH المتاحة في خوادم التطبيقات التفاعلية.