بديل Mastra: منصة تولي الأمان الأولوية مقابل إطار TypeScript
Mastra إطار عمل وكلاء TypeScript بـ 24,329 نجمة GitHub من فريق Gatsby — لكن CVE-2025-61685 (CVSS 6.5) يكشف ملفات بيانات اعتماد ~/.aws عبر حقن موجه في Cursor IDE، ويقتصر RBAC والمصادقة على دليل ee/ الخاص غير المتاح بموجب Apache 2.0، وطلبا سحب غير مدمجَين يتركان ثغرات إعادة التوجيه المفتوح و OAuth CSRF في مكدس مصادقة المؤسسة دون إصلاح حتى مايو 2026. يحتاج أي بديل لـ Mastra مُصمَّم للفرق التي تولي الأمان الأولوية إلى عزل وكيل الخزينة لا متغيرات البيئة للبيانات الاعتمادية.
ما هو Mastra؟
Mastra إطار عمل وكلاء TypeScript مفتوح المصدر من Kepler Software (الفريق الذي طوّر Gatsby) بـ 24,329 نجمة GitHub، صدر في أغسطس 2024، يوفر تنسيق سير العمل واستدعاء الأدوات وأوليات RAG لمطوري JavaScript وTypeScript بموجب ترخيص مزدوج — Apache 2.0 للنواة وترخيص خاص لدليل `ee/` الذي يحتوي على المصادقة و RBAC وتطبيق أذونات المحوّلات.
لماذا يبحث المطورون عن بديل لـ Mastra
CVE-2025-61685: كشف ملفات بيانات الاعتماد عبر خادم MCP Docs
CVE-2025-61685 (CVSS 6.5، 24 سبتمبر 2025) ثغرة اجتياز مسار في @mastra/mcp-docs-server الإصدار 0.13.8 وما دونه. تكتشف ليران تال الثغرة التي تتيح حقن موجه عبر Cursor IDE لتجاوز حماية اجتياز المسار في readMdxContent وصولاً إلى ~/.aws/credentials و~/.config/ و~/.cursor/.
الترخيص المزدوج: ميزات الأمان خلف جدار دفع ee/
يشمل ترخيص Apache 2.0 الخاص بـ Mastra نواة الإطار. أما دليل ee/ — الذي يحتوي على تكاملات المصادقة و RBAC وتطبيق أذونات المحوّلات — فهو خاص وغير متاح بموجب الترخيص مفتوح المصدر. RBAC إضافة للمؤسسات. أذونات المحوّلات محجوبة. تكاملات المصادقة خاصة.
طلبا سحب أمنيان غير مدمجَين في مكدس مصادقة المؤسسة
CVE-2026-42565 (CVSS 4.3): إعادة توجيه مفتوح في @workos/authkit-session. GHSA-wxw3-q3m9-c3jr (CVSS 5.3): OAuth CSRF في better-auth. كلتا الثغرتين في دليل ee/ — الطبقة المسوَّقة على أنها تقدم أمان درجة الإنتاج.
موقف OpenLegion: ثلاثة ثغرات هيكلية في الأمان
كشف بيانات الاعتماد حسب التصميم. يتلقى وكلاء Mastra بيانات الاعتماد كمتغيرات بيئة. وكيل خزينة OpenLegion يضخ بيانات الاعتماد على مستوى الشبكة — لا تحصل أي عملية وكيل على مفتاح API نصي.
الأمان كترقية للمؤسسات. RBAC وأذونات المحوّلات وتكاملات المصادقة تتطلب الطبقة الخاصة ee/. في OpenLegion، هذه ميزات أساسية متاحة لجميع المستخدمين.
ثغرات مصادقة غير مُصلَحة في الطبقة المدفوعة. OpenLegion سجل CVE صفري حتى مايو 2026.
Mastra مقابل OpenLegion: مقارنة جانبية
| البُعد | Mastra | OpenLegion |
|---|---|---|
| دعم اللغات | TypeScript فقط | Python (وكلاء)؛ واجهات للغات أخرى |
| الترخيص | Apache 2.0 (نواة) + ee/ خاص | BSL 1.1 ← Apache 2.0 بعد 4 سنوات |
| نجوم GitHub | 24,329 (مايو 2026) | قبل الإصدار |
| نموذج بيانات الاعتماد | متغيرات بيئة — الوكلاء يحتفظون بالمفاتيح | وكيل خزينة — الوكلاء لا يحتفظون أبداً بالمفاتيح |
| عزل الوكيل | مستوى العملية، بدون حدود حاوية | حاويات Docker إلزامية لكل وكيل |
| RBAC | طبقة ee/ الخاصة فقط | أذونات blackboard لكل وكيل (جميع المستخدمين) |
| سجل CVE | CVE-2025-61685 (CVSS 6.5) + طلبا سحب مفتوحان | 0 CVE مُبلَّغ |
| المصادقة | WorkOS AuthKit / better-auth (ee/ فقط) | وكيل الخزينة (لا طبقة مصادقة مطلوبة) |
| ضوابط الميزانية | لا شيء مدمج | حدود يومية/شهرية لكل وكيل |
| تعدد الوكلاء | تنسيق سير العمل | Blackboard + pub/sub + mesh handoff |
TypeScript فقط: ما يعنيه ذلك عملياً
Mastra TypeScript أولاً بالتصميم. لا Python SDK ولا عميل Go ولا تكامل JVM. للفرق بنية تحتية Python موجودة لتعلم الآلة أو البيانات، Mastra ليس خياراً قابلاً للتطبيق.
بنية الأمان: وكيل الخزينة مقابل متغيرات البيئة
يتلقى وكلاء Mastra بيانات الاعتماد عبر process.env. أثبت CVE-2025-61685 المخاطر الملموسة: اجتياز مسار في @mastra/mcp-docs-server يصل إلى ~/.aws/credentials.
وكيل خزينة OpenLegion يجلس على مستوى الشبكة بين الوكلاء ومزودي LLM. عملية الوكيل لا تستلم سلسلة بيانات اعتماد قط. لمزيد من التفاصيل، انظر أمان وكيل الذكاء الاصطناعي.
OpenLegion كبديل لـ Mastra
تنسيق متعدد الوكلاء عبر حالة blackboard وأحداث pub/sub وتسليم mesh — مع حدود أمان صريحة لكل وكيل. حقن بيانات اعتماد وكيل الخزينة. عزل Docker لكل وكيل. حدود ميزانية يومية وشهرية لكل وكيل. أكثر من 100 مزود LLM عبر LiteLLM.
المقايضات الصادقة: لا TypeScript SDK — Python فقط. مجتمع أصغر من 24,329 نجمة لـ Mastra. لا تصور سير عمل مدمج.
الأسئلة الشائعة
ما هو Mastra ومن بناه؟
Mastra إطار عمل وكلاء TypeScript بـ 24,329 نجمة GitHub من Kepler Software — الفريق الذي طوّر Gatsby — منذ أغسطس 2024. يوفر تنسيق سير العمل واستدعاء الأدوات وأوليات RAG وتنسيق متعدد الوكلاء لمطوري TypeScript بموجب ترخيص مزدوج.
ما هو CVE-2025-61685 في Mastra؟
CVE-2025-61685 (CVSS 6.5، 24 سبتمبر 2025) ثغرة اجتياز مسار في @mastra/mcp-docs-server ≤0.13.8 اكتشفها Liran Tal. حقن موجه عبر Cursor IDE يتجاوز حماية اجتياز المسار ويكشف ~/.aws/credentials و~/.config/ و~/.cursor/. أصدر Mastra إصلاحاً في الإصدار 0.17.0.
هل يملك Mastra RBAC في الطبقة المجانية؟
لا. RBAC وأذونات المحوّلات وتكاملات المصادقة في دليل ee/ الخاص، غير متاحة بموجب ترخيص Apache 2.0. OpenLegion يوفر أذونات blackboard لكل وكيل وعزل وكيل الخزينة لجميع المستخدمين كميزات أساسية.
ما هي مشكلات أمان Mastra غير المُصلَحة حتى مايو 2026؟
يظل طلبا سحب مفتوحَين في مكدس مصادقة المؤسسة: CVE-2026-42565 (CVSS 4.3، إعادة توجيه مفتوح في @workos/authkit-session) وGHSA-wxw3-q3m9-c3jr (CVSS 5.3، OAuth CSRF في better-auth).
هل يمكن لمطوري TypeScript استخدام OpenLegion؟
وكلاء OpenLegion Python فقط. فرق TypeScript ستحتاج إلى تشغيل وكلاء Python أو بناء أدوات TypeScript تستدعي واجهات OpenLegion. لا يوجد TypeScript SDK أصلي.
هل Mastra مستقر بما يكفي للإنتاج؟
لدى Mastra 24,329 نجمة GitHub وتطوير نشط منذ أغسطس 2024 مع 433 مشكلة مفتوحة حتى 26 مايو 2026. يجب على الفرق ترقية @mastra/mcp-docs-server إلى 0.17.0+ ومراقبة الإصلاحات المنبعية لـ CVE-2026-42565 وGHSA-wxw3-q3m9-c3jr قبل الاعتماد على ميزات مصادقة المؤسسة.
لمقارنة كاملة انظر OpenLegion مقابل LangGraph وOpenLegion مقابل CrewAI وOpenLegion مقابل AutoGen ومقارنة أطر عمل وكلاء الذكاء الاصطناعي 2026.