تقاطع الأزمات في قلب صناعة التقنية
شهد وادي السيليكون هذا الأسبوع فصلاً جديداً من الدراما التي تشبه في تفاصيلها مسلسلات الكوميديا السوداء، حيث تقاطعت أزمتان من أكبر القضايا المثيرة للجدل حالياً: اختراق أمني خبيث في مشروع مفتوح المصدر واسع الانتشار، وفضيحة تلاحق شركة ناشئة متخصصة في الامتثال الأمني.
البداية كانت مع LiteLLM، وهي شركة خريجة حاضنة الأعمال الشهيرة Y Combinator. تقدم LiteLLM مكتبة برمجية مفتوحة المصدر تتيح للمطورين الوصول بسهولة إلى مئات نماذج الذكاء الاصطناعي وإدارة تكاليف استخدامها. ويُعد المشروع نجاحاً باهراً بكل المقاييس؛ إذ يتم تحميله نحو 3.4 مليون مرة يومياً وفقاً لبيانات Snyk، ويحظى بـ 40 ألف إعجاب (Star) على منصة GitHub.
تفاصيل الاختراق: “برمجة عشوائية” كشفت الثغرة
اكتشف الباحث الأمني كولوم مكمان من شركة FutureSearch برمجية خبيثة تسللت إلى LiteLLM عبر “تبعية برمجية” (Dependency)، وهي برمجيات خارجية يعتمد عليها المشروع. قامت هذه البرمجية بسرقة بيانات الاعتماد (Credentials) لكل ما تلمسه، مستغلة إياها للوصول إلى حزم برمجية وحسابات أخرى وحصد المزيد من البيانات.
ومن المفارقات أن البرمجية الخبيثة تسببت في توقف جهاز مكمان عن العمل بعد تحميله لـ LiteLLM، مما دفعه للتحقيق واكتشاف الأمر. وبسبب التصميم الرديء وغير المتقن للكود الخبيث، استنتج مكمان (وباحث الذكاء الاصطناعي الشهير أندريه كارباثي) أن الكود تمت كتابته بأسلوب “Vibe Coding” – وهو مصطلح يشير إلى الاعتماد الكلي على الذكاء الاصطناعي في البرمجة دون مراجعة بشرية دقيقة.
المفاجأة: علاقة LiteLLM بشركة Delve المثيرة للجدل
بينما كان مطورو LiteLLM يسابقون الزمن لإصلاح الخلل، لاحظ مراقبون على منصة X أمراً مثيراً للاهتمام. لا يزال موقع LiteLLM يفتخر بحصوله على شهادات أمنية كبرى مثل SOC2 و ISO 27001، وهي معايير عالمية تثبت قوة السياسات الأمنية للشركات.
لكن المفاجأة تكمن في أن LiteLLM حصلت على هذه الشهادات عبر شركة ناشئة تدعى Delve. وتواجه Delve حالياً اتهامات خطيرة بتضليل عملائها بشأن مدى امتثالهم الفعلي، من خلال مزاعم بتوليد بيانات وهمية واستخدام مدققين يمنحون الموافقات دون فحص حقيقي، وهي اتهامات نفتها Delve جملة وتفصيلاً.
دروس مستفادة للصناعة
هناك فروق دقيقة يجب إدراكها؛ فهذه الشهادات الأمنية تهدف لإظهار وجود سياسات قوية للحد من المخاطر، ولا تمنع الهجمات بشكل تلقائي. ومع ذلك، فإن ارتباط اسم LiteLLM بشركة Delve في هذا التوقيت أثار موجة من السخرية والانتقاد في الأوساط التقنية، حيث علق المهندس جريجلي أوروز قائلاً: “ظننت الأمر مزحة.. لكن LiteLLM كانت حقاً ‘مؤمنة بواسطة Delve’”.
حتى الآن، لم يعلق كريش دولاكيا، الرئيس التنفيذي لشركة LiteLLM، على مسألة استخدام خدمات Delve، مؤكداً أن تركيز الفريق ينصب حالياً على معالجة آثار الهجوم وتأمين المستخدمين.
- تأثير الهجوم: سرقة بيانات اعتماد المطورين والوصول لحسابات مرتبطة.
- سرعة الاستجابة: تم اكتشاف الخلل واحتوائه في غضون ساعات قليلة.
- القضية الأكبر: تزايد التساؤلات حول موثوقية شركات الامتثال الأمني القائمة على الذكاء الاصطناعي.
المصدر: TechCrunch
اترك تعليقاً