ضعفهای امنیتی جدی در فریمورکهای استنتاج AI کشف شد
پژوهشگران شرکت Oligo Security نقایص امنیتی «اجرای کد از راه دور» (RCE) را در فریمورکهای استنتاج AI مانند Meta’s Llama Stack، Nvidia’s TensorRT-LLM، vLLM و SGLang کشف کردهاند.
عامل اصلی: استفاده ناایمن از کتابخانه Python’s pickle همراه با کدهای کپی-پیستشده بین پروژههای متعدد.
این آسیبپذیری در بسیاری از اکوسیستمهای AI تکرار شده و بهعنوان یک خطر سیستمیک برای سازمانها شناخته شده است.
تحلیل:
این خبر نشاندهنده یکی از بزرگترین چالشهای فنی در موج فعلی AI است: امنیت عاملهای هوش مصنوعی. وقتی سازمانها مدلها یا عاملها را وارد سیستمهای حیاتی میکنند، معماری امنیتی باید از ابتدا طراحی شود. در ایران و منطقه، شرکتهایی که بخشی از فرآیندهای حساس را به AI واگذار میکنند، باید حتماً ممیزی امنیتی، تست نفوذ و کنترلهای شدتبخشی (hardening) را در نظر بگیرند.
جزئیات کلیدی
- پژوهشگران Oligo Security متوجه شدند که چند فریمورک اصلی AI، از جمله:
- Meta Llama Stack
- Nvidia TensorRT-LLM
- vLLM
- SGLang
- علت:
استفاده از Python pickle در بخشهایی از کد که توسط توسعهدهندگان مختلف کپی-پیست شده و بدون اعتبارسنجی امنیتی استفاده شده است. - این موضوع بهعنوان یک ریسک سیستمیک شناخته شده:
یعنی مشکل فقط یک پروژه نیست، بلکه الگوی نادرست در سراسر اکوسیستم AI دیده میشود.
این آسیبپذیری دقیقاً چیست و چرا خطرناک است؟
۱) RCE یعنی امکان اجرای هر کدی روی سرور AI
اگر هکر بتواند ورودی یا مدل دستکاریشده به این فریمورکها بدهد، میتواند:
- کنترل کامل سرور را در دست بگیرد
- دادههای حساس را سرقت کند
- مدل را آلوده کند
- پاسخها را دستکاری کند
این دقیقاً بدترین نوع آسیبپذیری در زیرساختهای AI است.
۲) استفاده از pickle یک اشتباه تاریخی در بسیاری از پروژههای Python
Pickle برای سریالسازی طراحی شده،
اما هر وقت فایل pickle را لود کنید، میتواند هر کدی را اجرا کند.
استفاده از آن برای:
- بارگذاری مدل
- بارگذاری داده
- اشتراکگذاری artifact
- یا حافظه cache سیستم
در پروژههای AI = دعوتنامه به حمله RCE.
۳) کپی-پیست بودن کدها یعنی «ریسک تکرارشونده»
بزرگترین خطر این خبر:
مشکل, در چند محصول مختلف و از چند شرکت مختلف تکرار شده.
یعنی AI امروز روی پایهای ساخته شده که امنیت محور نبوده.
چرا این خبر از نظر جهانی مهم است؟
۱) AI اکنون در سیستمهای حیاتی استفاده میشود
وقتی AI وارد موارد زیر شده:
- مالیات
- بانکداری
- دولت
- پزشکی
- IoT و شبکه
- زیرساخت انرژی
یک ضعف RCE میتواند:
- عملیات را مختل کند
- دادههای حساس را افشا کند
- حتی خسارتهای زنجیرهای ایجاد کند
۲) نخستین هشدار جدی درباره “AI Supply Chain Attack”
AI یک زنجیره تأمین جدید دارد:
- مدلها
- tokenizer ها
- فریمورک استنتاج
- دیتاستها
- وزنها
- Agentها
- ابزارهای متصل
ضعف در هر بخش → حمله به کل سیستم
این مشابه حمله معروف SolarWinds است، ولی برای AI.
۳) نشان میدهد AI با سرعت زیاد ساخته شده اما امنیت عقب مانده
موج رشد سریع AI باعث شد توسعهدهندگان:
- از کدهای آماده استفاده کنند
- روی performance تمرکز کنند
- زمان برای امنیت نگذارند
اکنون نتیجه این عجله آشکار شده است.
تحلیل اثرات استراتژیک
۱) بهزودی استانداردهای امنیتی AI اجباری میشوند
همانطور که:
- DevSecOps
- Zero-Trust
- Secure-by-Design
برای توسعه نرمافزار ضروری شد،
در AI نیز شاهد خواهیم بود:
- استاندارد «Secure AI Inference»
- استاندارد «Safe Model Loading»
- الزام «عدم استفاده از pickle»
کشورها مجبور به تدوین مقررات میشوند.
۲) شرکتهای بزرگ مجبور به بازنویسی بخشهای کلیدی فریمورکها خواهند شد
این هشدار احتمالاً باعث میشود:
- Meta
- Nvidia
- Microsoft
- Hugging Face
بخشهای مهم مانند:
- serialization
- model loading pipelines
- runtime containers
را امنیتمحور بازنویسی کنند.
۳) مهاجمان به سمت حمله به AI میروند
تا امروز بیشتر حملات سایبری کلاسیک بودند.
از ۲۰۲۵ به بعد:
- حمله به وزنها
- حمله به Model Server
- حمله به Agent Tooling
- حمله از طریق prompt injection پیشرفته
به جریان اصلی تبدیل میشود.
پیام این خبر برای ایران و منطقه چیست؟ (بسیار مهم)
این قسمت با توجه به حوزه کاری شما در Smart Assistant، Enterprise Solutions و AI بسیار کاربردی است.
۱) هر شرکت ایرانی که از مدل یا Agent AI استفاده میکند باید “AI Security Audit” داشته باشد
حتی اگر:
- مدل ایرانی باشد
- مدل چینی باشد
- مدل متنباز باشد
- مدل در سرور داخلی اجرا شود
باز هم خطر وجود دارد.
۲) استفاده از pickle باید «ممنوع» شود
در محصولاتی مثل:
- چتبات سازمانی
- موتورهای تشخیص چهره
- سیستمهای پردازش تصویر
- OCR
- سیستمهای هوش تجاری
- Smart Assistant
هرجا pickle وجود دارد → باید حذف یا ایزوله شود.
۳) Datamoon، Karjooplus یا هر سازمانی که AI در محصولاتش دارد باید ۳ کار فوری انجام دهد:
✔ ممیزی امنیتی کدهای AI
(بهخصوص pipeline بارگذاری مدل)
✔ اجرای Container Isolation
برای inference serverها
✔ ایجاد “AI Hardening Guidelines”
برای deployment و محیط عملیاتی
جمعبندی نهایی
ضعف امنیتی کشفشده در فریمورکهای AI یک هشدار بسیار جدی است:
AI بدون امنیت = تهدید سیستمیک برای سازمانها و کشورها
این خبر نشان میدهد زیرساخت مدلهای AI هنوز بالغ نیست، و امنیت باید به بخشی از طراحی مدل تبدیل شود.
پرایم سیستم، رهبر فناوری اطلاعات در قزوین و زنجان، با افتخار نمایندگی رسمی معتبرترین برندهای ایران و جهان است:
۱- تخت جمشید:
پرایم سیستم، پیشگام سختافزار، گیمینگ، رندرینگ و لوازم جانبی کامپیوتر
۲- سیناپ:
پرایم سیستم، سیستمهای AIDC
پیشرو در شناسایی خودکار و جمعآوری داده، نرمافزارهای انبار و لجستیک و تجهیزات بارکد/RFID برای صنایع تولیدی، خردهفروشی و راهحلهای دقیق برای زنجیره تأمین.
۳- ماپرا:
پرایم سیستم، تحول دیجیتال صنعت F&B
نرمافزار یکپارچه مدیریت فروش، انبارداری، باشگاه مشتریان و رزرو آنلاین بر پایه فناوری ابری و دادهمحور، همراه هزاران رستوران، کافه و فستفود برای مدیریت بدون محدودیت مکان/زمان، افزایش کارایی و هوشمندسازی عملیات.
۴- سختافزار:
پرایم سیستم، پیشتاز قطعات دیجیتال
فروش آنلاین/آفلاین قطعات کامپیوتر و دیجیتال و نمایندگی برندهای ایرانی/خارجی، ارسال به تمام ایران، سیستمهای گیمینگ/رندرینگ/ماینینگ و تیم اورکلاکر حرفهای. تولید محتوای تخصصی، برترین فروشگاه سخت افزار و نرم افزار قزوین/زنجان.
۵- نیلپر:
پرایم سیستم، تولیدکننده محصولات ارگونومیک، کوله و کیف
تمرکز بر کیفیت، طراحی دانشمحور و بازارهای اداری/آموزشی/رستورانی. مدیریت استراتژیک برای رضایت مشتری.
۶- زبرآسیا:
پرایم سیستم، فناوری AIDC و بارکد
تسهیل در جمعآوری داده بدون خطا با تمرکز بر بارکد و AID، راهحلهای اطلاعاتی برای صنایع، افزایش سرعت/دقت و برنامهریزی منابع. تکیه بر متخصصان داخلی و دانش جهانی، جلب اعتماد مشتریان.
