رسالة أخبار البوابة، 21 أبريل — كشفت شركة الأمان OX Security عن ثغرة (إتاحة تنفيذ تعليمات عن بُعد) على مستوى التصميم في (MCP )نموذج بروتوكول سياق النموذج(، وهو المعيار المفتوح لعملاء الذكاء الاصطناعي لاستدعاء أدوات خارجية، والذي تقوده Anthropic. يمكن للمهاجمين تنفيذ أوامر تعسفية على أي نظام يعمل بتطبيق MCP عرضة للخطر، والحصول على بيانات المستخدم وقواعد البيانات الداخلية ومفاتيح API وسجلات المحادثات.
لا تعود هذه المشكلة إلى أخطاء في التنفيذ، بل إلى السلوك الافتراضي في حزمة تطوير البرامج الرسمية من Anthropic عند التعامل مع نقل STDIO — وهو ما يؤثر على إصدارات Python وTypeScript وJava وRust. تقوم StdioServerParameters في حزمة تطوير البرامج الرسمية بإطلاق عمليات فرعية مباشرة بناءً على معلمات أمر التكوين؛ وبدون تنقية إضافية لإدخال المستخدم من قبل المطورين، يصبح أي إدخال من المستخدم يصل إلى هذه المرحلة أمراً للنظام. حددت OX Security أربعة مسارات للهجوم: حقن أوامر مباشر عبر واجهات التكوين، والتحايل على التنقية باستخدام وسوم أو أعلام أوامر مدرجة ضمن القائمة المسموح بها )مثل npx -c ، وحقن الأوامر داخل بيئات التطوير المتكاملة لإعادة كتابة ملفات تهيئة MCP للأدوات مثل Windsurf لتشغيل خدمات STDIO خبيثة دون تدخل المستخدم، وإدخال تهيئات STDIO عبر طلبات HTTP في أسواق MCP.
وفقًا لـ OX Security، تم تنزيل الحزم المتأثرة أكثر من 150 مليون مرة، مع وجود 7,000+ من خوادم MCP المتاحة علنًا تعرض ما يصل إلى 200,000 مثيل عبر أكثر من 200 مشروع مفتوح المصدر. قدم الفريق 30+ بلاغًا مسؤولا، ما أدى إلى وجود 10+ ثغرات CVE ذات شدة عالية أو حرجة تغطي أطر عمل الذكاء الاصطناعي وبيئات التطوير المتكاملة بما في ذلك LiteLLM وLangFlow وFlowise وWindsurf وGPT Researcher وAgent Zero وDocsGPT؛ ويمكن أن تتعرض 9 من 11 مستودعًا من مستودعات حزم MCP التي تم اختبارها للخطر باستخدام هذه التقنية.
ردت Anthropic بأن هذا “مصمم هكذا”، واصفة نموذج تنفيذ STDIO بأنه “تصميم افتراضي آمن”، ونقلت مسؤولية تنقية المدخلات إلى المطورين، رافضة تعديل البروتوكول أو حزمة تطوير البرامج الرسمية. على الرغم من أن DocsGPT وLettaAI قد أصدرتا تحديثات لإصلاح المشكلة، فإن تنفيذ Anthropic المرجعي لا يزال دون تغيير. ومع تحول MCP إلى المعيار بحكم الواقع لوكلاء الذكاء الاصطناعي الذين يصلون إلى أدوات خارجية — متبوعًا بـ OpenAI وGoogle وMicrosoft — يمكن لأي خدمة MCP تستخدم النهج الافتراضي لـ STDIO في حزمة تطوير البرامج الرسمية أن تصبح مسارًا للهجوم، حتى إذا كتب المطورون كودًا خاليًا من الأخطاء.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
ترابط شركة Ant International مع 150 مليون تاجر عبر مدفوعات مدعومة بالذكاء الاصطناعي
قالت Ant International إن شبكة مدفوعاتها تربط أكثر من 150 مليون تاجر بأكثر من 2 مليار حساب للمستهلكين حول العالم، مع دعم أكثر من 300 طريقة دفع عبر 220 سوقاً.
وتتعامل الشركة مع أكثر من 20 مليون معاملة يومياً بمتوسط، وتقوم بتوسيع نطاقها في أنحاء آسيا،
CryptoFrontierمنذ 7 د
تطلق OKX بروتوكول مدفوعات الوكلاء لدورات أعمال الذكاء الاصطناعي
قدّم تَبادل العملات المشفّرة OKX بروتوكول مدفوعات الوكلاء (APP) يوم الأربعاء، مع وصفه بأنه معيار مفتوح لمدفوعات تقوم على “الوكلاء” ومصمم لدعم الدورات التجارية الكاملة لوكلاء الذكاء الاصطناعي. ويأتي الإعلان في أعقاب عروض مماثلة، بينها x402، وهو بروتوكول مفتوح تم احتضانه من قِبل Coinbase، و
CryptoFrontierمنذ 1 س
Kite يطلق تشغيل الشبكة الرئيسية، ويطرح طبقة التحكم في المدفوعات لتراخيص وكلاء الذكاء الاصطناعي
وفقًا لإعلان Kite الرسمي، أطلقت منصة البنية التحتية للدفع Kite الموجهة لاقتصاد وكلاء الذكاء الاصطناعي (AI Agent) رسميًا الشبكة الرئيسية في 30 أبريل. خلال فترة تشغيل الشبكة الرئيسية، يقوم Kite Treasury بسداد تكاليف رسوم الشبكة، دون أن يشعر المستخدمون بوجود رسوم الغاز. كما أتاح Kite للجمهور Kite Agent Passport كطبقة تفويض ودفع لوكلاء الذكاء الاصطناعي.
MarketWhisperمنذ 1 س
جلسات Stripe 2026: تعاون مع Google لبناء مشتريات مدعومة بالذكاء الاصطناعي، ودعم محفظة Link للمدفوعات الذاتية للـ Agents
أعلنت Stripe في Sessions 2026 عن 288 ميزة جديدة، لتخطط بشكل شامل لبنية تحتية تجارية أصلية للذكاء الاصطناعي: من خلال الشراكة مع Google لدمج التسوق بالذكاء الاصطناعي، وتمكين المدفوعات الذاتية عبر وكلاء AI، وتفعيل محفظة Link لحماية بيانات الدفع باستخدام بطاقات افتراضية لمرة واحدة، مع ضرورة موافقة المستخدمين على كل عملية على حدة؛ كما طُوّرت Stripe Treasury بشكل جديد، بما يدعم تعدد العملات، والتحويلات عبر الحدود، وتحويلات مجانية في نفس اليوم، ومكافآت بالعملات المستقرة، مع استرداد نقدي بنسبة 2%، بهدف أن تصبح طبقة الدفع الأساسية لحقبة الاقتصاد المعتمدة على الذكاء الاصطناعي.
ChainNewsAbmediaمنذ 1 س
ترفع Parallel Web Systems جولة $100M B بالتزامن مع $2B ، وبقيمة ، تقودها Sequoia
بحسب TechCrunch، جمعت Parallel Web Systems، وهي شركة ناشئة في مجال الذكاء الاصطناعي أسسها باراغ أغراوال، الرئيس التنفيذي السابق لتويتر، 100 مليون دولار في جولة استثمار من الفئة B بقيادة Sequoia وبقيمة تقييم تبلغ 2 مليار دولار. تضيف هذه الجولة إلى إجمالي تمويل الشركة 230 مليون دولار، بعد خمسة أشهر من جولة الفئة A البالغة 100 مليون دولار. Parallel
GateNewsمنذ 1 س
ارتفاع 30.43% خلال 24 ساعة على SWARMS (SWARMS)
أعلنت Gate News أن 30 أبريل، وفقاً لما يظهر في بيانات Gate، بلغ سعر SWARMS (SWARMS) حتى وقت إعداد التقرير 0.02469 دولار. وارتفع خلال 24 ساعة بنسبة 30.43%، لامس أعلى مستوى عند 0.02670 دولار، بينما تراجع إلى أدنى مستوى 0.01802 دولار. كما سجل حجم التداول خلال 24 ساعة 2.9636 مليون دولار. وتبلغ القيمة السوقية الحالية نحو 24.6886 مليون دولار.
SWARMS هو إطار تعاون متعدد الوكلاء على مستوى المؤسسات.
أبرز أخبار SWARMS مؤخراً:
1️⃣ **تقلبات واسعة لعملات رمزية في نظام Solana البيئي عند مستويات مرتفعة للقيمة السوقية**
تذبذب الرمز المميز خلال الفترة الأخيرة ضمن نطاق 18 مليون دولار إلى 26 مليون دولار، مع تقلبات كبيرة ومتعددة بين الارتفاع السريع والانخفاض السريع، ما يعكس تذبذباً ملحوظاً في معنويات السوق. وينبغي للمستثمرين الانتباه عن كثب إلى مخاطر تقلب الأسعار.
لا يُعد هذا الخبر توصية استثمارية
GateNewsمنذ 2 س
