وكيل Google AI يكشف عن ثغرة حرجة في SQLite قبل الاستغلال

أخبار المنزل* جوجل استخدمت إطارها المدعوم بالذكاء الاصطناعي لاكتشاف ثغرة أمان كبيرة في قاعدة بيانات SQLite مفتوحة المصدر قبل أن يتم استغلالها على نطاق واسع.

• العيب، المسجل كـ CVE-2025-6965، هو ثغرة في فساد الذاكرة تؤثر على الإصدارات التي تسبق 3.50.2.
• الوكيل الذكي، الذي يُدعى "Big Sleep"، حدد التهديد، مما قد يوقف المحاولات النشطة لاستغلاله.
• جوجل تروج لنهج أمني هجين لوكلاء الذكاء الاصطناعي للمساعدة في تقليل المخاطر الناتجة عن الثغرات والإجراءات الخبيثة.
• هذه هي الحالة الأولى الموثقة لوكالة الذكاء الاصطناعي التي توقفت فيها عن استغلال ثغرة قبل استغلالها في العالم الحقيقي. في 16 يوليو 2025، أعلنت جوجل أن نظام الكشف عن الثغرات القائم على الذكاء الاصطناعي قد حدد عيبًا حرجًا في محرك قاعدة بيانات SQLite قبل أن يتمكن المهاجمون من استغلاله. وكانت الاكتشافات تتعلق بمشكلة تحمل الاسم CVE-2025-6965 وتم اكتشافها بواسطة "Big Sleep"، وهو وكيل ذكاء اصطناعي تم إنشاؤه من خلال تعاون بين جوجل ديب مايند و جوجل بروجيكت زيرو.

• إعلان - حصلت الثغرة على درجة CVSS تبلغ 7.2، مما يشير إلى خطر شديد. وفقًا لمشرفي مشروع SQLite، يمكن أن يتسبب المهاجمون القادرون على حقن كود SQL ضار في حدوث تجاوز عددي وقراءة ما وراء حدود المصفوفة، مما يؤدي إلى سلوك غير متوقع أو تسرب بيانات. جميع إصدارات SQLite قبل 3.50.2 متأثرة.

جوجل وصفت هذه الثغرة الأمنية بأنها حرجة، مشيرة إلى أن الجهات الفاعلة في التهديد كانت على علم بها ويمكن أن تستغلها. "من خلال الجمع بين معلومات التهديد وBig Sleep، كانت جوجل قادرة على التنبؤ فعليًا بأن ثغرة كانت ستستخدم قريبًا وتمكنا من إيقافها مسبقًا،" قال كينت ووكر، رئيس الشؤون العالمية في جوجل وألفابت، في بيان رسمي. وأضاف أيضًا، "نعتقد أن هذه هي المرة الأولى التي يتم فيها استخدام وكيل ذكاء اصطناعي مباشرةً لافشال جهود استغلال ثغرة في العالم."

في السنة الماضية، اكتشف Big Sleep أيضًا ثغرة منفصلة في SQLite - وهي نقص في تدفق الذاكرة المؤقتة - كان يمكن أن يؤدي إلى تعطل النظام أو تمكن المهاجمين من تشغيل كود عشوائي. استجابةً لهذه الحوادث، أصدرت Google ورقة بيضاء توصي بوجود ضوابط بشرية واضحة وحدود تشغيل صارمة لوكلاء الذكاء الاصطناعي.

جوجل تقول إن ضوابط أمان البرمجيات التقليدية ليست كافية، حيث إنها لا توفر السياق المطلوب لوكلاء الذكاء الاصطناعي. في الوقت نفسه، فإن الأمان القائم فقط على حكم الذكاء الاصطناعي لا يوفر ضمانات قوية بسبب نقاط الضعف مثل حقن المطالبات. لمواجهة ذلك، تستخدم جوجل نهجًا متعدد المستويات، "الدفاع في العمق" الذي يمزج بين الحمايات التقليدية والدفاعات المدفوعة بالذكاء الاصطناعي. تهدف هذه الطبقات إلى تقليل المخاطر من الهجمات، حتى إذا تم التلاعب بعملية الوكيل الداخلية من قبل التهديدات أو المدخلات غير المتوقعة.

مقالات سابقة:

• التاجر جيمس وين يعود إلى هايبرليكيد برهان بيتكوين بقيمة 20 مليون دولار
• شبكة كانتون تضيف أفضل شركات السيولة لضمانات على السلسلة
• نيكسو تخفض معدلات الادخار المرنة لـ AXS بعد تغييرات البروتوكول
• إدارة مكافحة المخدرات تصادر 10 ملايين دولار من العملات المشفرة التابعة ل картель سيناولا خلال مداهمات المخدرات في فلوريدا
• هونغ كونغ تكشف عن إطار LEAP، وتضع قواعد عالمية للعملات المشفرة

• إعلان -