ثغرة RCE خطيرة فـ SGLang: CVE-2026-5760 كتهدد بنية تحتية ديال AI Serving

خلاصة (TL;DR)

تم اكتشاف ثغرة خطيرة ديال تنفيذ الكود عن بُعد (RCE)، مسمية CVE-2026-5760 (بسكور CVSS 9.8)، فـ SGLang، اللي هو إطار عمل (framework) لتقديم خدمات نماذج اللغة الكبيرة (LLM). هاد المشكل كاين فـ endpoint ديال reranking، وكيسمح للمهاجمين باش ينفذوا كود Python كيفما بغاو باستعمال ملفات نماذج GGUF مسمومة فيها templates ديال Jinja2 مخربة. لحد الساعة، ما تم الإبلاغ على حتى شي تحديث رسمي (patch) خلال فترة التنسيق.

---

الأمن ديال البنية التحتية للذكاء الاصطناعي (AI) كيواجه تحدي جديد مع الكشف على ثغرة أمنية "خطيرة" فـ SGLang، وهو إطار عمل مفتوح المصدر (open-source) مشهور كيستخدموه باش يشغلوا نماذج اللغة (LLMs) والنماذج متعددة الوسائط (multimodal) بأداء عالي.

هاد الثغرة، اللي معرّفة بـ CVE-2026-5760، عندها نقطة CVSS واصلة لـ 9.8، هادشي كيعني باللي الخطورة ديالها كبيرة بزاف وسهل تستغل. إذا تم الاستغلال ديالها بنجاح، كتمكن المهاجم باش يتحكم بشكل كامل وينفذ الكود على السيرفر اللي مهوستي (hosting) لخدمة SGLang.

الثغرة: Command Injection عن طريق GGUF

على حساب مركز التنسيق (CERT/CC)، هاد المشكل هو حالة ديال command injection ناتجة على Server-Side Template Injection (SSTI). هاد الثغرة كتقيس بالضبط الـ endpoint ديال /v1/rerank فـ خدمة SGLang.

الطريقة ديال الهجوم (Attack vector) كتم عن طريق ملفات نماذج GPT-Generated Unified Format (GGUF). المهاجم يقدر يصاوب ملف GGUF مسموم ويحط فيه "payload" داخل البرامتر tokenizer.chat_template. هاد البرامتر كيخدم بمحرك Jinja2 اللي كايستعملو SGLang باش يعالج أنظمة الدردشة.

كيفاش كيتم الهجوم؟

الباحث الأمني Stuart Beck، اللي لقى هاد الثغرة، لاحظ باللي السبب الرئيسي هو استعمال jinja2.Environment() بلا ما يكون كاين "sandboxing" (بيئة معزولة). حيت ما كيستعملوش ImmutableSandboxedEnvironment ، إطار العمل كيخلي الـ template يخرج على الحدود ديالو وينفذ أوامر على مستوى السيستيم (system-level commands).

الهجوم غالباً كيمشي بهاد التسلسل:

1. صناعة Payload: المهاجم كيصاوب ملف نموذج GGUF فيه Jinja2 SSTI payload داخل الـ tokenizer.chat_template.
2. تحريك الثغرة (Trigger): الـ template كيكون فيه واحد البركة ديال الهضرة "Qwen3 reranker trigger phrase" مبرمجة باش تخدم المسار ديال الكود اللي فيه المشكل فـ entrypoints/openai/serving_rerank.py.
3. النشر: الموديل المسموم كيتحط فـ منصات عامة بحال Hugging Face.
4. العدوى: الضحية كيتيليشارجي الملف وكيشارجي هاد الموديل المسموم فـ SGLang instance ديالو.
5. التنفيذ: ملي كيجي شي طلب (request) لـ /v1/rerank endpoint، SGLang كيخدم هاداك الـ template المسموم، وكيطبق كود Python ديال المهاجم فالسيرفر.

توجه متزايد ديال ثغرات الـ AI

ثغرة CVE-2026-5760 هي جزء من واحد النوع جديد ديال الثغرات كيتسمى "Model-as-Code". كتشبه بزاف لثغرة CVE-2024-34359 (المعروفة بـ "Llama Drama") اللي كانت فـ llama_cpp_python. ومشاكل بحال هادو تحلوا مؤخراً حتى فـ vLLM (CVE-2025-61620).

هاد الثغرات كبينو باللي كاين تحول كبير فـ مخاطر الـ AI: الأوزان ديال النماذج (weights) وملفات الإعدادات (config files) براسهم يقدروا يخدموا كـ "وسيلة نقل" للبرامج الضارة، ويرجعوا عملية "تحميل موديل" بسيطة لعملية اختراق كامل للسيستيم.

الحالة الحالية والوقاية

فوقت الكشف على هاد المعلومات، صرح CERT/CC باللي ما كاين حتى رد أو تحديث (patch) من صحاب مشروع SGLang خلال فترة التنسيق. وبما أن SGLang مشروع مستعمل بزاف (عندو كثر من 26,100 نجمة و5,500 fork فـ GitHub)، فهادشي كيشكل خطر كبير على مجتمع أبحاث وتطوير الذكاء الاصطناعي.

الإجراءات المنصوح بها

باش تنقص من هاد الخطر، الخبراء ديال الأمن و CERT/CC كينصحوا بـ:

• تعديل الكود (Code Modification): عدل الكود ديال SGLang بيدك باش تخدم بـ ImmutableSandboxedEnvironment بلاصة jinja2.Environment() ملي كيدير rendering لـ chat templates.
• تأكد من مصدر النماذج: تيليشارجي وخدم غير الموديلات اللي جاية من مصادر موثوقة ومحققة. تجنب تحميل ملفات GGUF من ناس مجهولين فـ المنصات العامة.
• تقسيم الشبكة (Network Segmentation): حد من القدرة ديال سيرفر SGLang باش يدير اتصالات خارجية (outbound connections) باش تمنع سيناريوهات "reverse shell" اللي كتمشي مع الـ RCE.

كنصحو المستعملين ديال SGLang باش يبقاو يراقبوا الـ repository الرسمي فـ GitHub باش يشوفوا أي تحديثات أمنية جديدة.

---

المصدر: The Hacker News - SGLang CVE-2026-5760 Enables RCE via Malicious GGUF Model Files