تصور کنید یک ابزار خودکار در تنها سه ماه، بیش از تمام تلاشهای انسانی یک سال گذشته باگ پیدا کند. این دیگر یک فرضیه نیست؛ بلکه واقعیت جدید امنیت سایبری در حوزه سلامت است.
در سه ماهه اول سال ۲۰۲۶، پژوهشگران AISLE — شامل استانیسلاو فورت، پتر سیمچک و پاول کوهوت — تحلیلگر خود را بر روی کدبیس OpenEMR متمرکز کردند. به نقل از گزارش aisle.com، این ابزار ۳۸ مورد آسیبپذیری و مواجهههای رایج (CVE) را شناسایی کرد که بیش از نیمی از تمام هشدارهای امنیتی منتشرشده برای این پلتفرم در آن بازه زمانی بود.
مقیاس این ریسک تکاندهنده است: OpenEMR توسط بیش از ۱۰۰,۰۰۰ ارائهدهنده خدمات پزشکی برای ۲۰۰ میلیون بیمار در ۳۴ زبان مختلف استفاده میشود. بر اساس مستندات این پروژه، کارایی هوش مصنوعی در مقایسه با معیارهای تاریخی خیرهکننده است. در سال ۲۰۱۸، یک بازرسی انسانی توسط Project Insecurity در یک چرخه پژوهشی طولانی تنها ۲۳ آسیبپذیری یافت؛ در حالی که AISLE در عرض ۳ ماه، ۳۸ مورد را شکار کرد.
یافتههای فنی شامل چندین نقص با شدت بحرانی بود:
- تزریق SQL (SQL Injection): موارد CVE-2026-24908 و CVE-2026-23627 که میتوانست اجازه استخراج دادههای بیماران یا اجرای کد از راه دور را به مهاجمان بدهد.
- دور زدن احراز هویت (Authorization Bypass): مورد CVE-2026-24487 که مربوط به دور زدن بخشهای بیمار در استاندارد FHIR بود و دسترسی به دادههای تیم مراقبت برای هر بیماری در سیستم را ممکن میکرد.
- ارجاع مستقیم ناامن به شیء (IDOR) و تزریق کد از طریق سایت (XSS): شناسایی موارد متعددی که میتوانست نشستهای (Sessions) پزشکان را به مخاطره بیندازد.
همانطور که در تحلیلهای پیشین ما دربارهی امنیت مدلهای بازمتن اشاره کردیم، اتکای مطلق به نظارت انسانی در برابر پیچیدگیهای مدرن دیگر پاسخگو نیست. بنیاد OpenEMR با همکاری نزدیک AISLE، بخش بزرگی از این اصلاحات را در نسخه ۸.۰.۰ در تاریخ ۱۱ فوریه ۲۰۲۶ منتشر کرد و وصلههای تکمیلی در طول ماه مارس اعمال شدند.
در آوریل ۲۰۲۶، این دو سازمان همکاری خود را رسمی کردند و AISLE PRO — یک تحلیلگر کامیت (Commit) مبتنی بر هوش مصنوعی — را در جریان بررسی کدهای OpenEMR ادغام کردند. این چرخش راهبردی، مدل امنیتی را از «افشای واکنشی» به «پیشگیری فعال» تغییر میدهد تا آسیبپذیریها پیش از رسیدن به محیط عملیاتی شناسایی شوند.
اما این تنها بخشی از ماجراست؛ تأثیر این رویکرد بر استانداردهای HIPAA و حریم خصوصی دادههای پزشکی را در گزارش بعدی بررسی خواهیم کرد.
گام بعدی شما
- اگر از OpenEMR استفاده میکنید، فوراً به نسخه ۸.۰.۰ یا بالاتر بهروزرسانی کنید.
- بررسی کنید آیا خط لوله CI/CD شما دارای ابزارهای تحلیل خودکار مبتنی بر هوش مصنوعی زاینده (Generative AI) است یا خیر.
- مستندات AISLE PRO را برای درک نحوه تحلیل خودکار کامیتها مطالعه کنید.
گفتگو