رسالة أخبار البوابة، 21 أبريل — كشفت شركة الأمان OX Security عن ثغرة (إتاحة تنفيذ تعليمات عن بُعد) على مستوى التصميم في (MCP )نموذج بروتوكول سياق النموذج(، وهو المعيار المفتوح لعملاء الذكاء الاصطناعي لاستدعاء أدوات خارجية، والذي تقوده Anthropic. يمكن للمهاجمين تنفيذ أوامر تعسفية على أي نظام يعمل بتطبيق MCP عرضة للخطر، والحصول على بيانات المستخدم وقواعد البيانات الداخلية ومفاتيح API وسجلات المحادثات.
لا تعود هذه المشكلة إلى أخطاء في التنفيذ، بل إلى السلوك الافتراضي في حزمة تطوير البرامج الرسمية من Anthropic عند التعامل مع نقل STDIO — وهو ما يؤثر على إصدارات Python وTypeScript وJava وRust. تقوم StdioServerParameters في حزمة تطوير البرامج الرسمية بإطلاق عمليات فرعية مباشرة بناءً على معلمات أمر التكوين؛ وبدون تنقية إضافية لإدخال المستخدم من قبل المطورين، يصبح أي إدخال من المستخدم يصل إلى هذه المرحلة أمراً للنظام. حددت OX Security أربعة مسارات للهجوم: حقن أوامر مباشر عبر واجهات التكوين، والتحايل على التنقية باستخدام وسوم أو أعلام أوامر مدرجة ضمن القائمة المسموح بها )مثل npx -c ، وحقن الأوامر داخل بيئات التطوير المتكاملة لإعادة كتابة ملفات تهيئة MCP للأدوات مثل Windsurf لتشغيل خدمات STDIO خبيثة دون تدخل المستخدم، وإدخال تهيئات STDIO عبر طلبات HTTP في أسواق MCP.
وفقًا لـ OX Security، تم تنزيل الحزم المتأثرة أكثر من 150 مليون مرة، مع وجود 7,000+ من خوادم MCP المتاحة علنًا تعرض ما يصل إلى 200,000 مثيل عبر أكثر من 200 مشروع مفتوح المصدر. قدم الفريق 30+ بلاغًا مسؤولا، ما أدى إلى وجود 10+ ثغرات CVE ذات شدة عالية أو حرجة تغطي أطر عمل الذكاء الاصطناعي وبيئات التطوير المتكاملة بما في ذلك LiteLLM وLangFlow وFlowise وWindsurf وGPT Researcher وAgent Zero وDocsGPT؛ ويمكن أن تتعرض 9 من 11 مستودعًا من مستودعات حزم MCP التي تم اختبارها للخطر باستخدام هذه التقنية.
ردت Anthropic بأن هذا “مصمم هكذا”، واصفة نموذج تنفيذ STDIO بأنه “تصميم افتراضي آمن”، ونقلت مسؤولية تنقية المدخلات إلى المطورين، رافضة تعديل البروتوكول أو حزمة تطوير البرامج الرسمية. على الرغم من أن DocsGPT وLettaAI قد أصدرتا تحديثات لإصلاح المشكلة، فإن تنفيذ Anthropic المرجعي لا يزال دون تغيير. ومع تحول MCP إلى المعيار بحكم الواقع لوكلاء الذكاء الاصطناعي الذين يصلون إلى أدوات خارجية — متبوعًا بـ OpenAI وGoogle وMicrosoft — يمكن لأي خدمة MCP تستخدم النهج الافتراضي لـ STDIO في حزمة تطوير البرامج الرسمية أن تصبح مسارًا للهجوم، حتى إذا كتب المطورون كودًا خاليًا من الأخطاء.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
مؤسسة 0G تتعاون مع Alibaba Cloud لإتاحة Qwen LLM على السلسلة لوكلاء الذكاء الاصطناعي
بوابة الأخبار، 21 أبريل — عقدت مؤسسة 0G شراكة مع Alibaba Cloud لدمج سلسلة نماذج اللغة الكبيرة Qwen على السلسلة. ومن خلال آلية مُرمّزة بالرموز، يمكن للمطورين تضمين وصول مباشر إلى Qwen داخل بنيتهم التحتية، ما يلغي الحاجة إلى إدارة الحسابات التقليدية والتسوية بالعملات الورقية، مع تمكين الوصول البرمجي عند الطلب إلى حوسبة الذكاء الاصطناعي. في هذا التصميم، يتم تنفيذ الاستدلال على Qwen بينما تتم معالجة التحقق بواسطة 0G، لتأسيس أساس حوسبي وثقة للأنظمة الذاتية للذكاء الاصطناعي.
يمكن للمطورين الآن الاستفادة من طبقة البيانات القابلة للتحقق لدى 0G لبناء سير عمل لوكلاء متعدد الخطوات بنسبة 100% قابلة للتدقيق. تم تحسين إصدار Qwen 3.6 الأحدث للذكاء الاصطناعي الوكيلي، حيث يوفر دعمًا قويًا للاستدلال لوكلاء الذكاء الاصطناعي في الأنظمة اللامركزية. يتيح هذا التعاون لوكلاء الذكاء الاصطناعي المستقلين الوصول إلى نماذج من المستوى الأعلى مباشرة عبر سلسلة الكتل.
يمثل هذا الشراكة تحولًا في بنية تحتية للذكاء الاصطناعي من نماذج واجهات برمجة التطبيقات التقليدية إلى أنظمة قابلة للبرمجة ومُرمّزة بالرموز. ومع توسع قدرات الذكاء الاصطناعي على السلسلة، يحصل المطورون على أدوات جديدة لإنشاء تطبيقات ذكاء اصطناعي لامركزية وقابلة للتحقق.
GateNewsمنذ 1 س
إصدار Nvidia OpenShell للإصدار v0.0.33 مع مُشغّل MicroVM libkrun لعمليات عزل وكلاء الذكاء الاصطناعي
رسالة أخبار البوابة، 21 أبريل — وفقًا للرصد الذي أجرته Beating، أطلقت منصة وقت تشغيل حاوية عزل وكلاء الذكاء الاصطناعي المفتوحة المصدر من Nvidia OpenShell مؤخرًا الإصدار v0.0.33. يتضمن التحديث libkrun، وهو مُشغّل microVM خفيف يعتمد على KVM، إلى جانب ميزات أمان مُعززة
GateNewsمنذ 1 س
ProCap Financial تتعاون مع Kalshi لإطلاق خدمة أبحاث أسواق تنبؤات مدعومة بالذكاء الاصطناعي
رسالة أخبار Gate، 21 أبريل — شركة ProCap Financial، التي أسسها رائد أعمال في مجال العملات المشفرة Anthony Pompliano، دخلت في شراكة مع Kalshi، وهي مشغّل سوق تنبؤات، لإطلاق خدمة بحثية تركز على تحليل أسواق التنبؤات. تستفيد الخدمة من خط بيانات Kalshi ووكلاء الذكاء الاصطناعي لدى ProCap لتزويد
GateNewsمنذ 2 س
贾斯汀·孙强调 AI 代理是 Web3 智能演进的核心驱动力
贾斯汀·孙敦促称,AI 代理将取代手动的 Web3 交互,使得能够自主、以意图驱动的 DApp 得以规划并执行链上任务,释放生产力,并在 Genesis 黑客马拉松上推动大规模采用。
摘要:贾斯汀·孙在 Genesis 黑客马拉松的发言强调 AI 代理作为 Web3 的催化剂,推动从手动操作转向自主、以意图驱动的流程来管理链上任务与跨链交易,解决用户增长瓶颈,并激发整个生态系统范围内的采用。
GateNewsمنذ 2 س
تطلق Alipay مدفوعات لوكلاء ذكاء اصطناعي في هانغتشو، وتصل إلى 100 مليون مستخدم
رسالة أخبار البوابة، 21 أبريل — أطلقت Alipay خدمة دفع لوكيل ذكاء اصطناعي في هانغتشو تُمكّن وكلاء ذكاء اصطناعي من نوع OpenClaw من إجراء عمليات شراء ومعالجة المدفوعات نيابةً عن المستخدم. تتطلب الميزة من المستخدمين تفعيلها، والتحقق من هويتهم، والموافقة على كل معاملة، مع وجود ضوابط للمخاطر وآليات للتعويض لدى
GateNewsمنذ 3 س
Moonshot AI 推出具备 300-Agent Swarm 能力的 Kimi K2.6,推进自主 AI 系统
Moonshot AI 的 Kimi K2.6 扩展并行子智能体至 300 个, 将多领域任务速度提升至 4,000 步,并新增 Skills 工具,可将文档转换为可复用模板。
摘要:Moonshot AI 发布 Kimi K2.6,这是一款开源模型,可将智能体编排扩展至 300 个并行子智能体和 4,000 个协调步骤。它提升了在 Rust、Go 和 Python 等语言上的长程代码能力,加强前端、DevOps 与性能优化,并引入 Skills 机制,可将 PDF、电子表格和 Word 文件转换为可复用的任务模板,用于支持自主的多步骤工作流与持续监控。
GateNewsمنذ 3 س
