تعرضت ثغرة أمنية حرجة في منصة سير عمل الذكاء الاصطناعي مفتوحة المصدر "لانغفلو" للاستغلال النشط من قبل جهات التهديد في غضون 20 ساعة فقط من الإفصاح العلني عنها. يسلط هذا الاستغلال السريع الضوء على السرعة المقلقة التي يمكن للجهات الخبيثة من خلالها الاستفادة من تفاصيل الثغرات المنشورة حديثًا لشن هجمات. تم تعيين الثغرة بالرقم CVE-2026-33017 مع درجة عالية في سلم CVSS تبلغ 9.3، وتمثل مزيجًا خطيرًا من غياب المصادقة وحقن التعليمات البرمجية، مما يؤدي في النهاية إلى تنفيذ تعليمات برمجية عن بُعد دون مصادقة.
وفقًا للنصيحة الرسمية، توجد الثغرة في نقطة النهاية `POST /api/v1/build_public_tmp/{flow_id}/flow`. صُممت هذه النقطة لبناء سير عمل لانغفلو العامة، ولم تكن تتطلب أي مصادقة. والأهم من ذلك، أنه عند تقديم معامل `data` اختياري في الطلب، كان النظام يستخدم هذه البيانات التي يتحكم فيها المهاجم - والتي يمكن أن تحتوي على تعليمات برمجية عشوائية بلغة بايثون ضمن تعريفات العقد - بدلاً من بيانات سير العمل الشرعية المخزنة في قاعدة البيانات. ثم يتم تمرير هذه التعليمات البرمجية التي يوفرها المستخدم مباشرة إلى دالة `exec()` في بايثون دون أي عزل أو قيود أمنية، مما يمنح المهاجمين القدرة على تنفيذ أوامر عشوائية على الخادم الأساسي. تؤثر الثغرة على جميع إصدارات لانغفلو حتى الإصدار 1.8.1 شاملًا، مع توفر إصلاح في الإصدار التجريبي 1.9.0.dev8.
وضح الباحث الأمني أفيرال سريفاستافا، الذي اكتشف الثغرة وأبلغ عنها في 26 فبراير 2026، أن CVE-2026-33017 تختلف عن ثغرة لانغفلو الحرجة السابقة، CVE-2025-3248 (درجة CVSS: 9.8). استغل العيب السابق نقطة النهاية `/api/v1/validate/code` لتنفيذ تعليمات برمجية دون مصادقة. أشار سريفاستافا إلى أنه على الرغم من اختلاف العيبين، فإن CVE-2026-33017 تشترك في السبب الجذري المشترك: الاستخدام غير الآمن لدالة `exec()`. أوضح أن الطبيعة العامة لنقطة النهاية المعرضة للخطر جعلت من اشتراط المصادقة البسيط حلاً غير عملي، لأنه سيكسر الوظيفة الأساسية لتقديم سير العمل العامة. كان التصحيح الصحيح، كما تم تنفيذه، هو إزالة معامل `data` الاختياري بالكامل من نقطة النهاية العامة، مما يجبرها على تنفيذ بيانات سير العمل المخزنة مسبقًا على جانب الخادم فقط.
يعكس الاستغلال السريع لـ CVE-2026-33017 مصير الثغرة السابقة CVE-2025-3248، والتي أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أنها أيضًا تتعرض لهجوم نشط. يسلط هذا النمط الضوء على تحدي حرج في دورة حياة الإفصاح عن الثغرات. فإن الفترة الزمنية بين الإفصاح العلني عن ثغرة حرجة وبدء الهجمات الواسعة النطاق تتقلص بشكل كبير، غالبًا إلى أقل من يوم واحد. بالنسبة للمؤسسات التي تستخدم البرامج المتأثرة، يخلق هذا ضغطًا هائلاً لتطبيق التحديثات الأمنية أو تنفيذ التخفيفات على الفور تقريبًا لتجنب الاختراق.
يخدم هذا الحادث كتذكير صارم للمطورين والمؤسسات، خاصة في مجال أدوات الذكاء الاصطناعي والتعلم الآلي سريع التطور. يؤكد على الأهمية القصوى لممارسات الترميز الآمن، مثل التحقق الصارم من المدخلات، ومبدأ أقل امتياز، وتجنب الوظائف الخطيرة مثل `exec()` مع المدخلات التي يوفرها المستخدم. بالنسبة لفرق الأمن، فإنه يعزز الحاجة إلى عمليات جرد أصول قوية وإدارة تحديثات قادرة على الاستجابة للتهديدات الحرجة في إطار زمني طارئ. إن تقارب منصات الذكاء الاصطناعي سهلة الوصول والثغرات التي يتم تسليحها بسرعة يشكل سطح هجوم كبيرًا ومتناميًا يتطلب دفاعًا يقظًا.
