أخبار البوابة، 10 أبريل، كشف مؤسس Solayer @Fried_rice في منشور على وسائل التواصل الاجتماعي عن ثغرة أمنية كبيرة في سلسلة توريد نماذج اللغات الكبيرة (LLM). تشير الأبحاث إلى أن وكلاء نماذج LLM يعتمدون بشكل متزايد على “موجِّهات” (Routers) لواجهات برمجة التطبيقات التابعة لجهات خارجية لإحالة طلبات استدعاء الأدوات إلى عدة مزوّدين من أعلى السلسلة. تعمل هذه الموجِّهات كوسطاء في طبقة التطبيقات، ويمكنها الوصول إلى حمولة JSON في كل عملية نقل بصيغة نص عادي، لكن لا يوجد حاليًا أي مزوّد يفرض حماية سلامة التشفير بين العميل ونموذج المنبع بشكل إلزامي.
اختبرت الورقة 28 موجِّهاً مدفوعاً تم شراؤها من Taobao وXianyu وShopify لمواقع الويب المستقلة، إضافة إلى 400 موجِّه مجاني تم جمعها من مجتمعٍ عام. ووجدت النتائج أن موجِّهاً مدفوعاً واحداً و8 موجِّهات مجانية تقوم بحقن شيفرات خبيثة بشكل فعّال، وأن اثنين تم نشرهما مع محفزات تتفادى الضوابط تلقائيًا، وأن 17 منها تلامست مع بيانات اعتماد AWS Canary التي يمتلكها الباحثون، فضلًا عن موجّه واحد قام بسرقة ETH من مفتاح خاص كان بحوزة الباحثين.
تُظهر دراسَتان إضافيتان حول التسميم (Poisoning) أن الموجِّهات التي تبدو غير ضارة يمكن أيضًا استغلالها: تم استخدام مفتاح OpenAI مُسرب لتوليد 100 مليون token من GPT-5.4 ولأكثر من 7 جلسات Codex؛ في حين أدى الإعداد الأضعف لمصائد (Dummies) إلى إنتاج 2 مليار token للفوترة، وتقديم 99 مجموعة بيانات اعتماد تمتد عبر 440 جلسة Codex، فضلًا عن 401 جلسة كانت تعمل في وضع YOLO ذاتي التشغيل.
قام فريق البحث ببناء وكيل بحثي باسم Mine يمكنه تنفيذ جميع أنواع الهجمات الأربعة ضد أربعة أطر وكلاء (Agent) متاحة للعموم، كما تحقّق من ثلاث وسائل دفاع على مستوى العملاء: بوابة التحكم في الإغلاق عند الأعطال، والفرز غير الطبيعي لنهاية الاستجابة، وتسجيل السجلات الشفافة المُلحقة فقط.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
مؤسسة Zcash تُصدر Zebra 4.4.0 لمعالجة عدة ثغرات أمنية على مستوى الإجماع
وفقاً لمؤسسة Zcash، تم إصدار Zebra 4.4.0 مؤخراً لمعالجة عدة ثغرات أمنية على مستوى الإجماع. يعالج التحديث عيوباً تسمح بحدوث هجمات حجب الخدمة التي قد تؤدي إلى إيقاف اكتشاف الكتل، وأخطاء في عدّ عمليات توقيع الكتل (sigops) تسبب خلافات على مستوى الإجماع،
GateNewsمنذ 1 س
اختراق تشفيري بقيمة 292 مليون دولار هذا العام كشف ثغرات أمنية حاسمة في التمويل اللامركزي (DeFi)
ووفقاً لـ CoinDesk، كشفت عملية اختراق للعملات المشفرة بقيمة 292 مليون دولار هذا العام عن ثغرات أمنية كبيرة في بروتوكولات التمويل اللامركزي (DeFi). وقد دفعت الحادثة المطلعين في الصناعة إلى إعادة تقييم إدارة المخاطر وبنية السوق مع انتقال الجهات الفاعلة في التمويل التقليدي إلى عالم البلوك تشين.
وقد أدى الاختراق إلى تحفيز أوسع نطاق
GateNewsمنذ 2 س
اقتراح eCash يثير تحذيرات لدى المطورين بشأن المخاطر والتوزيع
أثار المطورون وشخصيات بارزة في قطاع الصناعة مخاوف بشأن اقتراح eCash المرتبط بـPaul Sztorc، مشيرين إلى مخاطر المستخدمين وعدم التوزيع المتكافئ وتوتر فلسفي باعتبارها قضايا رئيسية.
تم توصيف الاقتراح بأنه يضم عناصر خطرة تستدعي الحذر ضمن مجتمع العملات المشفرة
CryptoFrontierمنذ 4 س
يمكن لمستخدمي Wasabi Protocol الآن سحب الأموال المتبقية بأمان
وبحسب بيان Wasabi Protocol الرسمي على X، يمكن للمستخدمين الآن التفاعل بأمان مع العقود الذكية الخاصة بالبروتوكول وسحب الأموال المتبقية. يعمل الفريق على التحقيق في الحادث، لكنه لم يوفّر تفاصيل إضافية حتى الآن، مشيراً إلى أنه سيتم مشاركة تحديثات إضافية في وقت لاحق.
GateNewsمنذ 4 س
خسر Purrlend 1.52 مليون دولار على HyperEVM وMegaETH بعد اختراق تفويضات 2/3 المتعددة التوقيع
وبحسب ChainCatcher، تسبّب اختراق أمني في Purrlend على HyperEVM وMegaETH في 3 مايو، ما أسفر عن خسارة تقارب 1.52 مليون دولار. قام المهاجمون باختراق محفظة مُتعددة التوقيعات بنسبة 2/3 التابعة للفريق ومنحو أنفسهم إذن BRIDGE_ROLE، واستخدموه في سكّ رموز pUSDm وpUSDC غير مدعومة كانت
GateNewsمنذ 6 س
