نمط اليوم قبيح وواضح: middleware الموثوق، وبنية النظام الموثوقة، والموردون الموثوقون، كلها تتحول إلى نقاط كسر عالية الأثر.
الخلاصة السريعة: ثلاث قصص تستحق المتابعة هذا الصباح: استغلال نشط لـ LiteLLM يستهدف مباشرة بيانات اعتماد مزودي النماذج، ومسار تصعيد صلاحيات في ويندوز بلا تصحيح اسمه PhantomRPC، واعتراف Vimeo بأن اختراق طرف ثالث كشف بيانات عملاء.
يستغل المهاجمون الثغرة CVE-2026-42208، وهي حقن SQL قبل المصادقة داخل مسار التحقق من مفاتيح API في وكيل LiteLLM. رصدت Sysdig طلبات دقيقة استهدفت جداول تحتوي على بيانات اعتماد المزودين، ومفاتيح API، وأسرار البيئة، وبيانات الإعداد. تكمن الخطورة في أن LiteLLM يقف أمام عدة مزودي نماذج؛ لذا فإن أي نسخة مكشوفة قد تتحول إلى نقطة ارتكاز نحو OpenAI وAnthropic وBedrock وغيرها.
تصف أبحاث Kaspersky حول PhantomRPC ضعفاً معمارياً في Windows RPC: بيئة التشغيل لا تتحقق من شرعية خادم RPC قبل أن تتواصل معه العملاء عالية الامتياز. يمكن لخدمة مخترقة أن تنشئ نقطة نهاية مزيفة، وتنتظر نداء RPC عالي الامتياز، ثم تنتحل هوية الجهة الطالبة حتى SYSTEM. وبحسب التقارير صنفت Microsoft المشكلة على أنها متوسطة ولا تخطط لإصلاح فوري، ما يعني أن المدافعين بحاجة إلى ضوابط تعويضية بدلاً من انتظار معجزة Patch Tuesday.
قالت Vimeo إن المهاجمين وصلوا إلى قواعد بيانات تحتوي على عناوين بريد إلكتروني وبيانات تقنية وبيانات وصفية للفيديو بعد اختراق منصة التحليلات Anodot. وتقول الشركة إن محتوى الفيديو وبيانات الدخول الصالحة وبيانات البطاقات لم تُكشف، لكن المشكلة تظل مثالاً كلاسيكياً على الثقة الزائدة في الموردين: تكاملات التحليلات تكون غالباً قريبة بما يكفي من بيانات الإنتاج لتحول اختراق المورد إلى حادثة حقيقية. وتزعم ShinyHunters مسؤوليتها عن الهجوم وتهدد بتسريب البيانات إذا لم يُدفع الفدية قبل 30 أبريل.
ابدأ بأولوية البنية التحتية المكشوفة للذكاء الاصطناعي، ثم أغلق افتراضات الامتياز الضعيفة داخل ويندوز، وبعدها أعد تدقيق وصول الموردين الذي نسيه الجميع رغم أنه في الواقع وصول إنتاجي. الفشل المشترك هنا ليس فئة ثغرات واحدة، بل ثقة موضوعة في المكان الخطأ داخل طبقات الربط.