اختراق سيبراني يستهدف OpenAI عبر هجوم موسّع على سلسلة التوريد البرمجية

قراصنة يستغلون مكتبة TanStack مفتوحة المصدر في هجوم سلسلة توريد طال 170 حزمة، مما أسفر عن سرقة شيفرة وشهادات رقمية من موظفَين في OpenAI.

تحرير
ألمعي · هيئة التحرير
النشر
١٥ مايو ٢٠٢٦
المصدر
TechCrunch
القراءات
١
الوقت
قراءة دقيقتين
شعار OpenAI على خلفية من شيفرة برمجية

كشفت شركة OpenAI الرائدة في الذكاء الاصطناعي أن قراصنة نجحوا في اختراق أجهزة موظفَين اثنين من موظفيها، بعد استغلال ثغرة في مكتبة TanStack مفتوحة المصدر ضمن هجوم موسّع على سلسلة التوريد البرمجية طال أكثر من 170 حزمة برمجية في منظومتَي npm وPyPI.

وقعت الحادثة يوم الاثنين الحادي عشر من مايو 2026، حين نجح المهاجمون في اختراق منظومة TanStack، إحدى المكتبات الأوسع انتشاراً في تطوير واجهات الويب الأمامية، ونشروا 84 إصداراً خبيثاً خلال ست دقائق لا غير. ولكن يقظة باحث أمني مستقل أسهمت في الكشف عن الأمر خلال عشرين دقيقة من بدء الهجوم، مما أتاح احتواء الأضرار في حدودها الدنيا.

يُنسب هذا الهجوم إلى مجموعة الابتزاز المعروفة بـTeamPCP، وهو جزء من حملة أشمل أطلق عليها الباحثون اسم Mini Shai-Hulud، امتدّ أثرها ليطال مكتبات Mistral AI وUiPath وOpenSearch وGuardrails AI أيضاً. وتعمل البرمجية الخبيثة المزروعة كدودة ذاتية الانتشار تسعى إلى سرقة بيانات الاعتماد والتكاثر في الأجهزة المصابة.

بالنسبة لـOpenAI تحديداً، تمكّن المهاجمون من الوصول إلى مجموعة محدودة من مستودعات الشيفرة المصدرية الداخلية التي كان الموظفان المتضرران يملكان صلاحيات الوصول إليها، إلى جانب بيانات اعتماد محدودة مرتبطة بتلك المستودعات. كما طالت الشهادات الرقمية المستخدمة لتوقيع تطبيقات الشركة على أنظمة Windows وmacOS وiOS وAndroid، مما اضطر الشركة إلى إعادة توقيع جميع تطبيقاتها بشهادات جديدة.

سارعت OpenAI إلى التأكيد أن الاختراق لم يمسّ أنظمتها الإنتاجية ولا ملكيتها الفكرية ولا بيانات المستخدمين. وقالت في بيانها: لم نجد أي دليل على اختراق أو خطر يتهدد التطبيقات الحالية. غير أن مستخدمي macOS مُطالَبون بتحديث التطبيق قبل الثاني عشر من يونيو 2026 لضمان استمراره في العمل بعد تبديل الشهادات الرقمية.

تكشف هذه الحادثة عن مواطن ضعف بنيوية في منظومة البرمجيات مفتوحة المصدر التي تُشكّل العمود الفقري لكثير من المؤسسات التقنية الكبرى. إذ يُعدّ هجوم سلسلة التوريد من أشدّ أنماط الهجمات السيبرانية خطورةً وصعوبةً في الرصد، لأن المهاجمين يُدسّون شيفرتهم الخبيثة في مكتبات موثوقة يتعامل معها المطوّرون يومياً دون توجّس.

للحادث تداعيات مباشرة على المؤسسات العربية التي تعتمد بشكل متزايد على واجهات OpenAI ومكتبات مفتوحة المصدر في تطوير منتجاتها؛ فمراكز البيانات السحابية في الإمارات والسعودية، ومنظومة بنون وسهل وسواهما من الشركات الناشئة في الخليج ومصر، تستخدم هذه الحزم البرمجية ذاتها. ويُطالب خبراء الأمن السيبراني في المنطقة—ومنهم الهيئة الوطنية للأمن السيبراني السعودية ومجلس الأمن السيبراني الإماراتي—بمراجعة سياسات سلسلة التوريد البرمجية، وتفعيل أدوات تدقيق التبعيات قبل النشر، حمايةً للبنى التحتية الرقمية الوطنية.

تدعو هذه الواقعة المطوّرين والشركات على حدٍّ سواء إلى مراجعة سياسات إدارة التبعيات البرمجية، والانتقال نحو ممارسات أكثر صرامة في التحقق من سلامة الحزم قبل دمجها في المنتجات النهائية. وقد باتت مسألة إدارة سلسلة التوريد البرمجية من أولويات الأمن السيبراني المؤسسي في عصر تعتمد فيه كبرى الشركات على آلاف المكتبات مفتوحة المصدر.

المصدر الأصلي
TechCrunch
قراءة المقال الأصلي ↗
قصة اليوم · كل صباح

أعجبك التقرير؟ استلم واحداً كل صباح.

قصةٌ تقنية واحدة تستحقّ وقتك، بالعربية. بلا إعلانات، بلا إزعاج.

بلا إعلانات · إلغاء الاشتراك بنقرة واحدة · بياناتك آمنة

اقرأ أيضًا

المزيد من ذكاء اصطناعي

مركبات Waymo ذاتية القيادة عالقة في شوارع سان فرانسيسكو خلال احتفالات الرابع من يوليو 2026

عمدة سان فرانسيسكو يطالب بتشديد قواعد سيارات الأجرة الذاتية بعد فوضى Waymo

طالب عمدة سان فرانسيسكو بفرض اشتراطات تشغيلية أصرم على شركات المركبات ذاتية القيادة إثر شلّ روبوتاكسي Waymo شوارع المدينة لساعات خلال احتفالات الرابع من يوليو.

TechCrunch
رمز مجموعة القرصنة Scattered Spider المتخصصة في هجمات الهندسة الاجتماعية

المملكة المتحدة تسجن قراصنة Scattered Spider خلّفوا خسائر 47 مليون دولار

أصدرت محاكم المملكة المتحدة أحكاماً بسجن شابَّين ثبت انتماؤهما لمجموعة القرصنة Scattered Spider، إثر اختراقهما أنظمة هيئة نقل لندن وتعطيل خدمات المترو لأسابيع عدة.

TechCrunch
منشأة إنتاج شركة Fairlife التابعة لكوكا كولا

هجوم فدية يُوقف إنتاج Fairlife الألبانية التابعة لكوكا كولا في أمريكا

كشفت شركة كوكا كولا في إفصاح رسمي لهيئة الأوراق المالية عن تعرّض فرعها الألباني Fairlife لهجوم برمجيات فدية أوقف عمليات الإنتاج بالكامل في الولايات المتحدة.

TechCrunch
واجهة منصة Google Vids مع ميزة الصورة الرمزية الذكية المولَّدة بالذكاء الاصطناعي

جوجل تُطلق صوراً رمزية ذكية تُتيح للمستخدمين التمثيل في مقاطع الفيديو

أضافت جوجل ميزة الصورة الرمزية المولَّدة بالذكاء الاصطناعي إلى منصة Google Vids، مما يُتيح للمستخدمين إنشاء نسخ رقمية منهم للظهور في محتوى مرئي احترافي دون تصوير فعلي.

TechCrunch
الذكاء الاصطناعي مقابل الذكاء البشري

باحث يطعن في فرضية تورينج الكبرى: هل ضلّ الذكاء الاصطناعي طريقه منذ 75 عاماً؟

عالم الحاسوب بيتر دينينج يجادل بأن افتراضَي تورينج الأساسيين المتعلقَين بالذكاء المجرّد ومحاكاة اللغة قد وجّها البحث التقني في الاتجاه الخاطئ، وأن المعرفة الضمنية البشرية لا يمكن رقمنتها مهما اتسعت النماذج.

ScienceDaily
آبل في السوق الصينية

الصين تُجيز آبل إنتيليجنس بالشراكة مع نموذج قوِن الذكي من علي بابا

الذكاء الاصطناعي التوليدي من آبل يحصل على موافقة رقابية صينية للإطلاق في نظام iOS بالشراكة مع نموذج قوِن من علي بابا، بعد مفاوضات امتدت عاماً مع كبرى شركات الذكاء الاصطناعي في الصين.

TechCrunch