تصور کنید قطعهای از کد که برای ۲۵ سال در قلب تقریباً هر دستگاه متصل به اینترنت بوده، ناگهان یک حفرهٔ امنیتی مرگبار را برملا کند. اگر از ابزارهای انتقال داده در زیرساختهای ابری یا سختافزارهای صنعتی استفاده میکنید، باید بدانید که یکی از حیاتیترین ابزارهای جهان، curl، رازی قدیمی داشته است. پلتفرم AISLE موفق شد ۶ آسیبپذیری یا CVE (Common Vulnerabilities and Exposures) را در curl و libcurl شناسایی کند. طبق گزارش این شرکت، یکی از این موارد یعنی CVE-2026-8932، نخستین بار در ۲۲ مارس ۲۰۰۱ در کدهای نرمافزاری عرضه شد؛ یعنی باگی که بیش از دو دهه و نیم در کدهای عملیاتی باقی مانده بود و اکنون کشف شده است.
زمینه و گستره جهانی
curl یک زیرساخت بنیادین است که روی بیش از ۳۰ میلیارد دستگاه در سراسر جهان اجرا میشود. این ابزار انتقال دادهها را در طیف وسیعی از سیستمها تسهیل میکند، از جمله:
- سیستمعاملها و کانتینرها
- خط لولههای CI (یکپارچهسازی مستمر) و مدیریتکنندههای بستهها (Package Managers)
- کیتهای توسعه نرمافزاری (SDK) و دستگاههای تخصصی
- خودروهای مدرن
- هلیکوپتر Ingenuity ناسا در سیاره مریخ
بسیاری از کاربران هرگز دستور curl را مستقیماً در ترمینال تایپ نمیکنند، اما میلیاردها دستگاه همچنان به libcurl وابسته هستند؛ موتور محرک curl که در اعماق محصولات دیگر جاساز شده است. به دلیل بلوغ بالای این نرمافزار، باگهای «ساده» سالها پیش حذف شدهاند. آنچه اکنون باقی مانده، مشکلاتی بسیار دشوار برای یافتن است که مسیرهای قدیمی پروتکلها، بازاستفاده از وضعیتها (State Reuse)، رفتار Callbackها، انتخاب اعتبارنامهها و مسیرهای فراموششدهٔ کد را در بر میگیرد.
به نقل از گزارش وبسایت aisle.com، موج این تحقیقات از ۱۱ مه ۲۰۲۶ آغاز شد. این اتفاق پس از آن افتاد که دنیل استنبرگ، بنیانگذار و توسعهدهنده اصلی curl، اشاره کرد که مدل Mythos شرکت Anthropic توانسته است تنها یک مورد CVE را پیدا کند. این خبر جرقهای شد برای موجی از گزارشها که در نهایت منجر به ثبت رکورد ۱۸ مورد CVE برای یک نسخه واحد از curl شد؛ نسخه 8.21.0 که در ۲۴ ژوئن ۲۰۲۶ منتشر گردید. این موضوع در حالی رخ میدهد که مدلهای جدیدتر این شرکت مانند Claude Fable 5 جهشی قابل توجه در تواناییهای کدنویسی تجربه کردهاند، اما همچنان در شناسایی باگهای پیچیدهٔ زیرساختی با چالش مواجهاند.
جزئیات یافتههای آسیبپذیری
پلتفرم AISLE با شناسایی ۶ مورد از آن ۱۸ آسیبپذیری، پیشتاز تمامی سازمانهای امنیتی شد. برای مقایسه، دومین سازمان AI-محور موفق توانست ۳ مورد را پیدا کند، در حالی که پژوهشگران مستقل که از مدلهای OpenAI یا Anthropic استفاده میکردند، هر کدام تنها یک مورد یافتند. تمامی این یافتهها توسط جاشوآ راجرز از تیم تحقیقات AISLE بهصورت مسئولانه گزارش و افشا شدند.
جزئیات CVEهای شناسایی شده عبارتند از:
- CVE-2026-8932: قدیمیترین آسیبپذیری curl تا به امروز. این باگ در نسخههای بعد از ورژن ۷.۷ عرضه شده بود. این مشکل در بازاستفاده از اتصال mTLS باعث میشد libcurl حتی پس از تغییر تنظیمات کلید خصوصی یا گواهینامه کلاینت، از اتصال قبلی استفاده کند که منجر به دور زدن احراز هویت (Authentication Bypass) میشد.
- CVE-2026-8926: مشکلی در مدیریت اعتبارنامههای .netrc؛ در شرایطی که یک URL نام کاربری را ارائه میکرد اما پسوردی نداشت، curl ممکن بود پسوردی متعلق به کاربر دیگری را برای همان میزبان انتخاب کند.
- CVE-2026-8925: یک خطای حافظه «آزادسازی مضاعف» (Double Free) در احراز هویت SASL که در آن curl میتوانست یک Context خاص GSASL را در جریانهای پروتکل فعالشده با SASL، دوبار آزاد کند.
- CVE-2026-9080: باگ Use-after-free که در آن فراخوانی تابع
curl_easy_pause()در داخل یک کالبک سوکت چندگانه (multi socket callback) باعث میشد libcurl از طریق یک اشارهگر داخلی که قبلاً آزاد شده است، بنویسد. - CVE-2026-10536: خطای Use-after-free که در آن ریست کردن و پاکسازی یک هندل با استفاده از گزینههای وابستگی HTTP/2 باعث میشد libcurl با وضعیتی که قبلاً آزاد شده بود تماس برقرار کند.
- CVE-2026-9547: اعتبارسنجی نادرست میزبان در انتقالهای SCP/SFTP از طریق بکاند libssh، جایی که یک کالبک کلید میزبان میتوانست نوع کلید سروری را بپذیرد که باید رد میشد.
فراتر از این CVEها، AISLE از قابلیت شناسایی خودکار (که در پاییز ۲۰۲۵ توانسته بود ۲۹ یافته معتبر و ۵ مورد CVE پیدا کند) برای گزارش سه مشکل امنیتی حافظه دیگر استفاده کرد:
- خطای Use-after-free در تابع
curl_easy_duphandle()مربوط به درخت وابستگی استریم HTTP/2. - خطای Heap-OOB read در تابع
redirect_url()از urlapi از طریق جریانCURLU_GUESS_SCHEMEدر کنارCURLU_NO_GUESS_SCHEME. - یک مورد Use-after-free و Double-free که هنگام غیرفعال کردن HSTS مشترک توسط
CURLOPT_HSTS_CTRLبدون وجود یک Share Guard رخ میداد.
مهندسی امنیت مستقل از مدل
نکته قابل توجه این است که چندین مورد از این مشکلات تنها اپلیکیشنهای مبتنی بر libcurl را تحت تأثیر قرار میدهند و ابزار خط فرمان (Command Line Tool) را هدف قرار نمیدهند؛ این موضوع باعث میشود محصولات جاسازیشده (Embedded) از طریق رفتار اپلیکیشن به اهداف احتمالی تبدیل شوند. پلتفرم AISLE تنها به یافتن باگها اکتفا نکرد، بلکه برای سه مورد از این CVEها، وصلههای اصلاحی (Patch) را نیز تولید کرد.
این نتیجه، روایتهای رایج درباره امنیت AI را تغییر میدهد. ثابت شد که قابلیتهای امنیت سایبری «ناهموار» (Jagged) هستند؛ به این معنا که مهندسی تخصصی و مستقل از مدل (Model-Agnostic) میتواند با هزینهای بسیار کمتر، از مدلهای زبانی غولپیکر در وظایف مشخص و تعریفشده پیشی بگیرد. در این میان، بحثهای متعددی پیرامون قربانی کردن حریم خصوصی شرکتها برای رسیدن به دقت بالاتر در مدلهای Anthropic مطرح شده که اهمیت استفاده از مدلهای محلی و درونسازمانی را دوچندان میکند. مهمتر اینکه این مدلهای کوچکتر میتوانند بهصورت محلی و کاملاً درونسازمانی (On-premises) اجرا شوند، بدون اینکه نیازی به ارسال درخواستهای API به ابر داشته باشند.
برای مدیران کسبوکار، این یعنی «مشکل محاسباتی» در حال تبدیل شدن به «مشکل مهندسی» است. اگر یک مدل محلی کوچک میتواند باگی از سال ۲۰۰۱ را پیدا کند که انسانها و LLMهای عظیم را برای دو دهه گمراه کرده، هزینه امنیت سطح بالا بهشدت کاهش خواهد یافت.
کاربران باید فوراً تمامی سیستمهای خود را به نسخه 8.21.0 curl بهروزرسانی کنند تا این آسیبپذیریها برطرف شوند. باید نظارهگر باشیم که چگونه این ابزارهای شناسایی خودکار مستقیماً در خط لولههای CI/CD ادغام میشوند تا از بقای باگهای قدیمی برای چندین دهه جلوگیری شود.
گام بعدی شما
- فوراً تمامی سیستمهای خود را به نسخه 8.21.0 curl بهروزرسانی کنید.
- اگر توسعهدهنده هستید، ابزارهای شناسایی خودکار (Autonomous Detection) را در خط لوله CI/CD خود ادغام کنید.
- استراتژیهای امنیتی خود را از اتکای مطلق به مدلهای ابری به سمت مدلهای تخصصی محلی تغییر دهید.
اما تأثیر این رویکرد بر کاهش هزینههای استنتاج در مقیاس صنعتی شگفتانگیز است — به تحلیل ما درباره بهینهسازیهای سختافزاری Blackwell مراجعه کنید.
گفتگو