دو نقص بحرانی در Wondershare RepairIt کشف شد که داده‌های کاربر و مدل‌های هوش مصنوعی را افشا می‌کند.

محققان امنیت سایبری دو نقص امنیتی در Wondershare RepairIt را افشا کرده‌اند[۱] که داده‌های خصوصی کاربر را افشا کرده و به‌طور بالقوه سیستم را در معرض دست‌کاری مدل هوش مصنوعی (AI) و خطرات زنجیره تأمین قرار می‌دهد.

آسیب‌پذیری‌های بحرانی موردبحث که توسط Trend Micro کشف شده‌اند، در زیر فهرست شده‌اند:

• CVE-2025-10643 (امتیاز ۹٫۱ در CVSS) – یک آسیب‌پذیری دور زدن احراز هویت که در مجوزهای اعطاشده به یک توکن حساب ذخیره‌سازی وجود دارد[۲].
• CVE-2025-10644 (امتیاز ۹٫۴ در CVSS) – یک آسیب‌پذیری دور زدن احراز هویت که در مجوزهای اعطاشده به یک توکن SAS وجود دارد[۳].

بهره‌برداری موفقیت‌آمیز از این دو نقص می‌تواند به مهاجم اجازه دهد تا محافظت احراز هویت را در سیستم دور بزند و یک حمله زنجیره تأمین را راه‌اندازی کند که درنهایت منجر به اجرای کد دلخواه در نقاط پایانی مشتریان می‌شود.

آلفردو اولیویرا و دیوید فیزر، محققان ترند میکرو، گفتند[۴] که این برنامه‌ی تعمیر داده و ویرایش عکس مبتنی بر هوش مصنوعی «با جمع‌آوری، ذخیره‌سازی و به دلیل شیوه‌های ضعیف توسعه، امنیت و عملیات (DevSecOps)، ناخواسته داده‌های خصوصی کاربر را فاش کرده و با سیاست حفظ حریم خصوصی خود در تضاد بوده است.»

شیوه‌های توسعه‌ی ضعیف[۵] شامل جاسازی توکن‌های دسترسی ابری بیش‌ازحد مجاز به‌طور مستقیم در کد برنامه است که امکان دسترسی خواندن و نوشتن به فضای ذخیره‌سازی ابری حساس را فراهم می‌کند. علاوه بر این، گفته می‌شود که داده‌ها بدون رمزگذاری ذخیره شده‌اند و به‌طور بالقوه راه را برای سوءاستفاده‌ی گسترده‌تر از تصاویر و ویدیوهای آپلود شده‌ی کاربران باز می‌کنند.

بدتر از همه، فضای ذخیره‌سازی ابری در معرض دید نه‌تنها شامل داده‌های کاربر، بلکه شامل مدل‌های هوش مصنوعی، فایل‌های باینری نرم‌افزار برای محصولات مختلف توسعه‌یافته توسط Wondershare، تصاویر کانتینر، اسکریپت‌ها و کد منبع شرکت نیز می‌شود که به مهاجم امکان می‌دهد مدل‌های هوش مصنوعی یا فایل‌های اجرایی را دست‌کاری کند و راه را برای حملات زنجیره تأمین که مشتریان پایین‌دستی آن را هدف قرار می‌دهند، هموار کند.

محققان گفتند: «ازآنجاکه فایل باینری به‌طور خودکار مدل‌های هوش مصنوعی را از فضای ذخیره‌سازی ابری ناامن بازیابی و اجرا می‌کند، مهاجمان می‌توانند این مدل‌ها یا پیکربندی‌های آن‌ها را تغییر داده و کاربران را ناآگاهانه آلوده کنند. چنین حمله‌ای می‌تواند از طریق به‌روزرسانی‌های نرم‌افزاری امضاشده توسط فروشنده یا دانلود مدل‌های هوش مصنوعی، بارهای مخرب را به کاربران قانونی توزیع کند.»

فراتر از افشای داده‌های مشتری و دست‌کاری مدل هوش مصنوعی، این مشکلات همچنین می‌توانند عواقب وخیمی را به همراه داشته باشند، از سرقت مالکیت معنوی و مجازات نظارتی گرفته تا فرسایش اعتماد مصرف‌کننده.

این شرکت امنیت سایبری اعلام کرد که این دو مشکل را از طریق ابتکار روز صفر (ZDI) خود در آوریل ۲۰۲۵ به‌طور مسئولانه افشا کرده است، اما با وجود تلاش‌های مکرر هنوز پاسخی از فروشنده دریافت نکرده است. در صورت عدم رفع مشکل، به کاربران توصیه می‌شود که «تعامل با محصول را محدود کنند.»

ترند میکرو گفت: «نیاز به نوآوری‌های مداوم، عجله یک سازمان را برای عرضه ویژگی‌های جدید به بازار و حفظ رقابت‌پذیری افزایش می‌دهد، اما آن‌ها ممکن است روش‌های جدید و ناشناخته‌ای را که این ویژگی‌ها می‌توانند استفاده شوند یا نحوه تغییر عملکرد آن‌ها در آینده پیش‌بینی نکنند.»

«این موضوع توضیح می‌دهد که چقدر ممکن است پیامدهای مهم امنیتی نادیده گرفته شوند. به همین دلیل است که پیاده‌سازی یک فرآیند امنیتی قوی در سراسر سازمان، ازجمله خط لوله CD/CI، بسیار مهم است.»

ضرورت همگامی هوش مصنوعی و امنیت

این تحول در حالی رخ می‌دهد که ترند میکرو پیش‌ازاین در مورد افشای سرورهای پروتکل مدل زمینه ([۶]MCP) بدون احراز هویت[۷] یا ذخیره اعتبارنامه‌های حساس[۸] مانند پیکربندی‌های MCP به‌صورت متن ساده هشدار داده بود، چرا که عوامل تهدید می‌توانند از این طریق برای دسترسی به منابع ابری، پایگاه‌های داده یا تزریق کد مخرب سوءاستفاده کنند.

محققان گفتند: «هر سرور MCP به‌عنوان یک درِ باز به منبع داده خود عمل می‌کند: پایگاه‌های داده، سرویس‌های ابری، APIهای داخلی یا سیستم‌های مدیریت پروژه. بدون احراز هویت، داده‌های حساس مانند اسرار تجاری و سوابق مشتری برای همه قابل‌دسترسی می‌شود.»

در دسامبر ۲۰۲۴، این شرکت همچنین دریافت[۹] که می‌توان از رجیستری‌های کانتینرهای در معرض دید برای دسترسی غیرمجاز و هدف قرار دادن تصاویر Docker برای استخراج مدل هوش مصنوعی درون آن، تغییر پارامترهای مدل برای تأثیرگذاری بر پیش‌بینی‌های آن و بازگرداندن تصویر دست‌کاری شده به رجیستری در معرض دید، سوءاستفاده کرد.

ترند میکرو گفت: «مدل دست‌کاری شده می‌تواند در شرایط معمولی به‌طور عادی رفتار کند و فقط در صورت تحریک توسط ورودی‌های خاص، تغییرات مخرب خود را نشان دهد. این امر حمله را به‌ویژه خطرناک می‌کند، زیرا می‌تواند از آزمایش‌های اولیه و بررسی‌های امنیتی عبور کند.»

کسپرسکی نیز به ریسک زنجیره تأمین ناشی از سرورهای MCP اشاره کرده است که یک اکسپلویت اثبات مفهوم (PoC) را ابداع کرده است تا نشان دهد که چگونه سرورهای MCP نصب‌شده از منابع غیرقابل‌اعتماد می‌توانند فعالیت‌های شناسایی و استخراج داده‌ها را تحت پوشش یک بهره‌وری مبتنی بر هوش مصنوعی پنهان کنند.

محمد غباشی، محقق امنیتی، گفت[۱۰]: «نصب یک سرور MCP اساساً به آن اجازه می‌دهد تا کدی را روی دستگاه کاربر با امتیازات کاربر اجرا کند. مگر اینکه در حالت سندباکس قرار گرفته باشد، کد شخص ثالث می‌تواند همان فایل‌هایی را که کاربر به آن‌ها دسترسی دارد بخواند و مانند هر برنامه دیگری تماس‌های شبکه‌ای خروجی برقرار کند.»

یافته‌ها نشان می‌دهد که پذیرش سریع ابزارهای MCP و هوش مصنوعی در محیط‌های سازمانی برای فعال کردن قابلیت‌های عامل‌محور، به‌ویژه بدون سیاست‌های روشن یا محافظ‌های امنیتی، می‌تواند مسیرهای حمله کاملاً جدیدی[۱۱] ازجمله مسمومیت با ابزار[۱۲]، حذف دسترسی‌های غیرمجاز[۱۳]، سایه‌زنی، تزریق سریع و افزایش امتیاز غیرمجاز را ایجاد کند.

در گزارشی که هفته گذشته منتشر شد، واحد ۴۲ شبکه‌های پالو آلتو فاش کرد که ویژگی پیوست زمینه که در دستیاران کد هوش مصنوعی برای پر کردن شکاف دانش مدل هوش مصنوعی استفاده می‌شود، می‌تواند مستعد تزریق سریع غیرمستقیم باشد، جایی که دشمنان، دستورات مضر را در منابع داده خارجی جاسازی می‌کنند تا رفتار ناخواسته را در مدل‌های زبانی بزرگ (LLM) ایجاد کنند.

تزریق سریع غیرمستقیم به ناتوانی دستیار در تمایز بین دستورالعمل‌های صادرشده توسط کاربر و آن‌هایی که مخفیانه توسط مهاجم در منابع داده خارجی جاسازی شده‌اند، بستگی دارد.

بنابراین، هنگامی‌که یک کاربر سهواً داده‌های شخص ثالث (مثلاً یک فایل، مخزن یا URL) را که قبلاً توسط یک مهاجم آلوده شده است، در اختیار دستیار کدنویسی قرار می‌دهد، می‌توان از این پیام مخرب پنهان برای فریب ابزار جهت اجرای یک در پشتی، تزریق کد دلخواه به یک پایگاه کد موجود و حتی نشت اطلاعات حساس استفاده کرد.

اوشر جیکوب، محقق واحد ۴۲، گفت[۱۴]: «افزودن این متن به پیام‌ها، دستیار کد را قادر می‌سازد تا خروجی دقیق‌تر و خاص‌تری ارائه دهد. بااین‌حال، اگر کاربران ناخواسته منابع متنی را که عاملان تهدید آلوده کرده‌اند، ارائه دهند، این ویژگی می‌تواند فرصتی برای حملات تزریق غیرمستقیم پیام نیز ایجاد کند.»

عامل‌های کدنویسی هوش مصنوعی همچنین در برابر حمله‌ای به نام «دروغ در حلقه» (LitL) آسیب‌پذیر شناخته شده‌اند که هدف آن متقاعد کردن LLM است که دستورالعمل‌های تغذیه‌شده بسیار ایمن‌تر ازآنچه واقعاً هستند، هستند و عملاً دفاع‌های انسانی در حلقه (HitL) را که هنگام انجام عملیات پرخطر اعمال می‌شوند، نادیده می‌گیرند.

اوری ران، محقق Checkmarx، گفت[۱۵]: «LitL از اعتماد بین انسان و عامل سوءاستفاده می‌کند. از این گذشته، انسان فقط می‌تواند به آنچه عامل به او می‌گوید پاسخ دهد و آنچه عامل به کاربر می‌گوید از زمینه‌ای که به عامل داده می‌شود استنباط می‌شود. دروغ گفتن به عامل آسان است و باعث می‌شود که از طریق زبان دستوری و صریح، زمینه‌ای جعلی و به‌ظاهر ایمن مانند یک مسئله GitHub ارائه دهد.»

«و عامل خوشحال است که دروغ را برای کاربر تکرار کند و اقدامات مخربی را که قرار است از آن جلوگیری کند، پنهان کند و درنتیجه مهاجم اساساً عامل را در گرفتن کلیدهای پادشاهی همدست کند.»

  منابع

[۱] https://repairit.wondershare.com

[۲] https://www.zerodayinitiative.com/advisories/ZDI-25-895

[۳] https://www.zerodayinitiative.com/advisories/ZDI-25-896

[۴] https://www.trendmicro.com/en_us/research/25/i/ai-powered-app-exposes-user-data.html

[۵] https://www.trendmicro.com/vinfo/us/security/news/threat-landscape/real-world-threats-hidden-in-devops

[۶] https://thehackernews.com/2025/04/experts-uncover-critical-mcp-and-a2a.html

[۷] https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/mcp-security-network-exposed-servers-are-backdoors-to-your-private-data

[۸] https://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/beware-of-mcp-hardcoded-credentials-a-perfect-target-for-threat-actors

[۹] https://securelist.com/model-context-protocol-for-ai-integration-abused-in-supply-chain-attacks/117473

[۱۰] https://thehackernews.com/2020/03/rowhammer-vulnerability-ddr4-dram.html

[۱۱] https://www.solo.io/blog/deep-dive-mcp-and-a2a-attack-vectors-for-ai-agents

[۱۲] https://thehackernews.com/2025/06/zero-click-ai-vulnerability-exposes.html

[۱۳] https://thehackernews.com/2025/07/wiz-uncovers-critical-access-bypass.html

[۱۴] https://unit42.paloaltonetworks.com/code-assistant-llms

[۱۵] https://checkmarx.com/zero-post/bypassing-ai-agent-defenses-with-lies-in-the-loop

[۱۶] https://thehackernews.com/2025/09/two-critical-flaws-uncovered-in.html