تحذير أمني.. ثغرة خطيرة في أداة Gemini CLI من جوجل تهدد المطورين
تاريخ النشر: 1st, August 2025 GMT
كشفت شركة Tracebit المتخصصة في الأمن السيبراني عن وجود ثغرة أمنية خطيرة في أداة Gemini CLI، التي أطلقتها جوجل في 25 يونيو لمساعدة المطورين على كتابة التعليمات البرمجية باستخدام تقنية Google Gemini مباشرة عبر سطر الأوامر.
الثغرة تنفذ أوامر خبيثة لسرقة بيانات المطوريم دون علمهموفقا لـ Tracebit، تم اكتشاف الثغرة بعد يومين فقط من إطلاق الأداة، حيث تجمع بين ضعف في التحقق من صحة الأوامر، وهجوم حقن الأوامر Prompt Injection، وتجربة مستخدم مضللة
كل ذلك مكن المهاجمين من تنفيذ تعليمات برمجية ضارة بصمت، بمجرد قيام المستخدم بفحص شيفرة غير موثوقة، مما يسمح بسرقة بيانات الاعتماد والمعلومات الحساسة من جهاز المطور وإرسالها إلى خوادم خارجية، دون علمه.
وقد أوضحت Tracebit في مدونة تقنية الطريقة التي يمكن من خلالها استغلال الثغرة، مشيرة إلى أن الهجوم قد لا يكتشف بسهولة من قبل الضحية بسبب طبيعة تنفيذ الاستغلال في الخلفية.
إفصاح واستجابة جوجلأبلغت Tracebit شركة جوجل عن الثغرة عبر برنامج Bug Hunters في 27 يونيو، أي بعد يومين فقط من إطلاق الأداة.
في البداية، صنفت جوجل الثغرة كـ أولوية منخفضة، لكنها عدلت التصنيف إلى P1, S1 (الأعلى خطورة وأولوية) في 23 يوليو بعد تبين خطورتها.
وفي 25 يوليو، أطلقت جوجل تحديثا جديدا (الإصدار 0.1.14) يتضمن إصلاحا للثغرة، وأعلنت عنه رسميا في 28 يوليو بعد الاتفاق مع الباحثين الأمنيين.
خلال الفترة التي امتدت لنحو شهر بين إطلاق الأداة وإصدار التحديث، لوحظ أن عدة باحثين أمنيين اكتشفوا بعض عناصر الثغرة بشكل مستقل.
كيف يؤثر ذلك على المستخدمين؟ وما هو الحل؟
يمنع التحديث الجديد تنفيذ الأوامر بشكل خفي، حيث يعرض للمستخدمين تحذيرات صريحة في حال محاولة تنفيذ شيفرات ضارة، ويتطلب منهم الموافقة اليدوية على تشغيل أي ملفات تنفيذية إضافية.
كما أكدت جوجل أن الأداة الآن تعتمد على نموذج أمني متعدد الطبقات يشمل:
- تشغيل الأوامر داخل بيئات معزولة Sandboxing عبر أدوات مثل Docker وPodman.
- تحذيرات بارزة باللون الأحمر في حال تعطيل العزل.
- حاويات معدة مسبقا لتأمين تنفيذ الأوامر بشكل تلقائي دون تعريض النظام للخطر.
كما أكدت Tracebit على أهمية التحقق دائما من الشيفرة غير الموثوقة، وخاصة مع الانتشار الواسع لأدوات الذكاء الاصطناعي في بيئة تطوير البرمجيات. ودعت المستخدمين إلى:
- تحديث الأداة فورا إلى الإصدار الأخير
تفعيل ميزات العزل sandboxing عند العمل مع مصادر غير معروفة
المصدر: صدى البلد
إقرأ أيضاً:
جوجل تعيد ابتكار البحث بالصور عبر الذكاء الاصطناعي
أعلنت جوجل عن تحديث كبير لوضع الذكاء الاصطناعي (AI Mode) داخل محرك البحث، يهدف إلى تحسين الطريقة التي يتفاعل بها المستخدمون مع الصور والفيديوهات أثناء البحث.
التحديث الجديد، الذي بدأ طرحه تدريجيًا هذا الأسبوع، يُحوّل تجربة البحث إلى رحلة مرئية تفاعلية تعتمد على فهم السياق البصري بشكل أعمق، وليس مجرد نصوص تقليدية.
منذ إطلاق وضع الذكاء الاصطناعي في مارس الماضي، تعمل جوجل باستمرار على تطوير ميزاته لتوسيع قدراته من مجرد الإجابة النصية إلى تجربة أكثر شمولًا.
ومع هذا التحديث الجديد، تستهدف الشركة جعل الذكاء الاصطناعي المخصص للبحث أكثر دقة في تفسير الصور وفهم نوايا المستخدمين من خلالها.
روبي شتاين، نائب رئيس إدارة المنتجات في بحث جوجل، أشار إلى أن الشركة لاحظت أن الروبوت كان يميل إلى تقديم إجابات نصية طويلة حتى عند التعامل مع استفسارات بصرية بحتة، وهو ما قد يبدو غير عملي في بعض الأحيان.
وأضاف شتاين أن هذا ما دفع جوجل إلى إعادة تصميم النظام ليكون أكثر قدرة على “التفكير بصريًا”، مستفيدًا من تقنية “توزيع الاستعلامات” التي تتيح للذكاء الاصطناعي تنفيذ عمليات بحث متعددة في الخلفية لفهم المقصود الحقيقي من طلب المستخدم.
فعلى سبيل المثال، إذا طلبت من جوجل العثور على صور “لغرف نوم مريحة ولكن فاخرة”، فلن يكتفي النظام بعرض صور عشوائية من الإنترنت. بدلاً من ذلك، سيقوم الذكاء الاصطناعي بتحليل مفهوم “الراحة” و“الفخامة” وتنفيذ بحث متعدد الجوانب لتوليد مجموعة صور تعكس بدقة نيتك من الطلب، مما يجعل النتائج أكثر انسجامًا مع ما تتخيله بالفعل.
ولأن جوجل تؤمن بأن البحث يجب أن يكون تجربة طبيعية ومتعددة الوسائط، فقد صُمم التحديث الجديد ليتيح للمستخدمين بدء المحادثة بصورة أو فيديو مباشرة. يمكن للمستخدم الآن رفع صورة لمنتج أو مشهد معين وطلب معلومات عنه أو اقتراحات مرتبطة به، ليقوم الذكاء الاصطناعي بتحليل المحتوى البصري وإعطاء نتائج دقيقة وفورية.
وترى جوجل أن هذا النوع من البحث البصري سيكون له تأثير قوي في مجال التسوق عبر الإنترنت. فبينما كان بإمكان المستخدمين سابقًا استخدام وضع الذكاء الاصطناعي للمقارنة بين المنتجات أو اقتراح خيارات، فإن التحديث الجديد يُضيف بعدًا بصريًا للتجربة، يجعل الروبوت قادرًا على تقديم نتائج أكثر واقعية وملائمة لاحتياجات المستهلك.
على سبيل المثال، يمكنك الآن أن تطلب من جوجل شيئًا معقدًا مثل “أريد بنطال جينز قصيرًا جدًا يناسب الإطلالة الصيفية”، ليقوم الذكاء الاصطناعي بعرض صور لخيارات مختلفة، مع إمكانية طرح أسئلة متابعة لتضييق نطاق البحث أكثر بناءً على الذوق أو السعر أو اللون. هذه الميزة تجعل عملية التسوق عبر محرك البحث أقرب إلى تجربة المحادثة الطبيعية مع مستشار شخصي يعتمد على الذكاء الاصطناعي.
ولا تقتصر أهمية التحديث على التسوق فقط، بل تمتد إلى مجالات مثل التصميم الداخلي، السفر، الأزياء، وحتى التعليم، حيث أصبح بإمكان المستخدمين استخدام الصور والفيديوهات كمحفزات للحوار مع الذكاء الاصطناعي، بدلاً من الاكتفاء بالنصوص.
وكما هو معتاد مع تحديثات جوجل، فإن نشر الميزات الجديدة سيحدث تدريجيًا خلال الأيام المقبلة، لذا قد لا يلاحظ بعض المستخدمين التغييرات فورًا. وتؤكد الشركة أن التجربة البصرية الجديدة لوضع الذكاء الاصطناعي ستصل أولًا للمستخدمين في الولايات المتحدة، على أن تتوسع إلى مناطق أخرى لاحقًا.
بهذه الخطوة، تواصل جوجل تعزيز مكانتها كقائدة لتجربة البحث الذكي، عبر تحويل عملية البحث من مجرد إدخال كلمات مفتاحية إلى حوار بصري غني يعتمد على الفهم المتعدد الوسائط. ومع تسارع تطوير تقنيات الذكاء الاصطناعي التوليدي، يبدو أن البحث في المستقبل لن يكون مجرد عملية استعلام، بل تجربة تفاعلية متكاملة تجمع بين النص والصورة والفيديو لفهم الإنسان بشكل أعمق من أي وقت مضى.
نجمة سلة سبورتنج تنضم الى معسكر الاتحاد الدولي