IRCNF

الذكاء الاصطناعي من Anthropic يعثر على 10,000 ثغرة أمنية حرجة في 30 يومًا — والآن مشرفو المصادر المفتوحة غارقون

The Hacker News
مشاركة:
الذكاء الاصطناعي من Anthropic يعثر على 10,000 ثغرة أمنية حرجة في 30 يومًا — والآن مشرفو المصادر المفتوحة غارقون

في أبريل 2026، أطلقت شركة Anthropic مشروعًا هادئًا تمكن خلال شهر واحد من اكتشاف ثغرات أمنية خطيرة أكثر مما تكتشفه معظم فرق الأمن في عقد كامل. كانت النتائج مذهلة. لكن المشكلة التي كشف عنها كانت أصعب بكثير.

ما هو مشروع Glasswing

مشروع Glasswing هو مبادرة أمنية دفاعية من Anthropic، أُطلقت في أبريل 2026، وتعتمد على نموذج Claude Mythos Preview — أقوى أنظمة الشركة، والمُهيأ خصيصًا لتحليل الكود العميق وأبحاث الثغرات. يعمل المشروع بتفويض دفاعي صارم: العثور على الثغرات قبل أن يصل إليها المهاجمون، والإفصاح المسؤول عنها، والتعاون مع المؤسسات القادرة على إصلاحها.

عند الإطلاق، انضم أكثر من 50 مؤسسة كشركاء، من بينها IBM وAWS وApple وGoogle وMicrosoft — وهو تحالف يوضح أن هذا ليس مجرد تجربة بحثية، بل برنامج أمني تشغيلي ذو نطاق صناعي واسع. التوجه واضح: Anthropic لا تبيع قدرات هجومية. إنها توظف نموذجها الأكثر تطورًا لتحصين البنية التحتية التي يعتمد عليها مليارات البشر.

يقدم Claude Mythos Preview قدرات لأبحاث الثغرات لم يقدمها أي أداة سابقة على هذا النطاق: القدرة على قراءة وتحليل قواعد الكود بالكامل في وقت واحد، وتتبع مسارات المنطق المعقدة عبر عدة ملفات، وتحديد أنماط التفاعل الدقيقة التي تظهر فقط في ظروف تشغيل معينة — النوع من الثغرات التي تبقى لسنوات ليس لأنها غير مرئية، بل لأن العثور عليها يتطلب الاحتفاظ بكم هائل من السياق في الذهن في آنٍ واحد. بالنسبة للإنسان، هذا مرهق. بالنسبة لنموذج لغوي كبير، هذا أمر روتيني.

الثغرات التي تم اكتشافها

بعد حوالي 30 يومًا من المسح، حدد مشروع Glasswing أكثر من 10,000 ثغرة عالية أو حرجة في البنية التحتية البرمجية الحيوية. ثلاثة اكتشافات تبرز لما تكشفه عن عمق المشكلة.

الأولى: ثغرة denial-of-service عن بُعد في تطبيق TCP SACK الخاص بنظام OpenBSD، والتي كانت موجودة في قاعدة الكود لمدة 27 عامًا. يُعتبر OpenBSD على نطاق واسع أكثر أنظمة التشغيل وعيًا بالأمان — عملية تطويره تضع تدقيق الكود قبل كل شيء. حقيقة أن ثغرة قابلة للاستغلال عن بُعد بقيت 27 عامًا تحت هذا التدقيق ليست فشلًا من مطوري OpenBSD. إنها دليل على مدى صعوبة العثور على أنواع معينة من الثغرات دون استخدام الذكاء الاصطناعي على نطاق واسع للاستدلال.

الثانية: ثغرة out-of-bounds write عمرها 16 عامًا في معالجة H.264 slice sentinel في مكتبة FFmpeg. FFmpeg هي مكتبة معالجة الفيديو التي تدير جزءًا هائلًا من برمجيات العالم — منصات البث، محررات الفيديو، تطبيقات الاتصال، المتصفحات. هذه الثغرة تحديدًا نجت من ملايين عمليات fuzzing الآلي. Fuzzing هي التقنية القياسية في الصناعة لاكتشاف ثغرات أمان الذاكرة؛ حقيقة أن هذه الثغرة أفلتت منها لمدة 16 عامًا تشير إلى أنها تتطلب فهمًا دلاليًا لمنطق codec للكشف عنها، وليس مجرد تغيير عشوائي للمدخلات.

الثالثة: CVE-2026-5194 في WolfSSL، بدرجة CVSS تتراوح بين 9.1 و9.3. إنها ثغرة تجاوز المصادقة تسمح بتزوير الشهادات وانتحال الخدمات. WolfSSL هي مكتبة TLS مدمجة تُستخدم في أجهزة IoT، الأنظمة Automotive، والأجهزة منخفضة الطاقة — النوع من البنية التحتية حيث يكون التصحيح بطيئًا، والأجهزة كثيرة، وعواقب اختراق طبقة المصادقة وخيمة. تؤثر هذه الثغرة على ما يقدر بمليارات الأجهزة.

لكل من هذه الثغرات سبب مختلف لبقائها طويلًا. ما يجمعها هو أن Claude Mythos وجدها جميعًا في غضون شهر.

ما تفعله شركات التقنية الكبرى حيال ذلك

كان رد فعل الشركات على نتائج Glasswing كبيرًا. أعلنت IBM وRed Hat عن مشروع Lightwell — التزام بقيمة 5 مليارات دولار لتأمين البرمجيات مفتوحة المصدر، مبني بشكل صريح على نتائج Glasswing. حجم هذا الاستثمار يعكس مدى جدية الشركتين في التعامل مع اكتشاف الثغرات المدعوم بالذكاء الاصطناعي كفئة جديدة من المخاطر البنية التحتية تتطلب فئة جديدة من الاستثمار.

أكدت Apple أن Claude Mythos اكتشف ثغرة أمنية جديدة في macOS خلال فترة مسح Glasswing. بدأت الشركة في مراجعتها وإصلاحها — تأكيد على أنه حتى عمليات الأمن الداخلية الصارمة لـ Apple لم تلتقط كل شيء.

اعترفت Microsoft أن الاكتشاف المدعوم بالذكاء الاصطناعي سيزيد حجم الثغرات التي تصل إلى خط أنابيب التصحيح الخاص بها. قالت الشركة إنها تتوقع زيادة في وتيرة التصحيح كنتيجة مباشرة لانتشار أدوات مثل Glasswing. المغزى هو أن إدارة التصحيح التقليدية القائمة على دورات الإصدار — Patch Tuesdays الشهرية، المراجعات الأمنية الفصلية — قد لا تكون كافية في عالم يمكن فيه للذكاء الاصطناعي توليد تقارير ثغرات أسرع من قدرة فرق الهندسة على معالجتها.

أزمة القائمين على الصيانة

هنا تصبح القصة أكثر تعقيدًا. ثغرات Glasswing البالغ عددها 10,000 لا توجد في فراغ. إنها موجودة في برمجيات يجب على شخص ما إصلاحها. وتوزيع هذا العبء غير متكافئ بشكل كبير.

العديد من الثغرات التي تم اكتشافها خلال الشهر الأول من Glasswing موجودة في مكتبات مفتوحة المصدر يتم صيانتها بواسطة أفراد أو فرق صغيرة جدًا — غالبًا متطوعون غير مدفوعين الأجر بنوا حسنة ووجدوا أنفسهم مسؤولين عن قطعة بنية تحتية يعتمد عليها الملايين. يتلقى هؤلاء القائمون على الصيانة الآن مئات تقارير الثغرات المُولّدة بالذكاء الاصطناعي. طلب بعضهم علنًا إبطاء أو تعليق الإفصاح. ليس لأن الثغرات غير مهمة، بل لأن خط أنابيب إصلاحها يعاني عنق زجاجة بشري لا يعالجه الاكتشاف المدعوم بالذكاء الاصطناعي.

الحساب بسيط: ثغرة حرجة في مكتبة يديرها مطور واحد لا تُصلح بشكل أسرع فقط لأن الذكاء الاصطناعي وجدها. الإصلاح لا يزال يتطلب إنسانًا يفهم الثغرة، ويصمم التصحيح، ويختبره، ويتنسق مع المستخدمين النهائيين، ويدير جدول الإفصاح. قائد صيانة واحد يقوم بهذا العمل يمكنه التعامل مع حفنة من الثغرات الحرجة شهريًا إذا لم يعمل على أي شيء آخر. الذكاء الاصطناعي يمكنه تقديم آلاف الثغرات شهريًا. تحول عنق الزجاجة من الاكتشاف إلى المعالجة — وعنق الزجاجة في المعالجة هو عنق بشري.

هذا مختلف جوهريًا عن برامج مكافآت الثغرات التقليدية، حيث كانت القيود المالية تحد بشكل طبيعي من حجم التقارير الواردة. الذكاء الاصطناعي لا ينام، ولا يتقاضى أجرًا لكل ثغرة، ويمكنه مسح قواعد الكود بالكامل في وقت واحد. الاقتصاديات التي كانت تجعل خطوط أنابيب الإفصاح قابلة للإدارة لم تعد سارية.

ماذا يعني هذا لأمن البرمجيات

أمضت صناعة الأمن عقودًا تعتبر "العثور على الثغرات" هو المشكلة الصعبة. مشروع Glasswing يشير إلى أن تلك الحقبة تنتهي. المشكلة الصعبة الآن هي إصلاحها على نطاق واسع — مما يعني تمويل القائمين على صيانة المصادر المفتوحة، وبناء بنية تحتية للمعالجة، وتنسيق الإفصاح المسؤول عبر آلاف المشاريع في وقت واحد، واتخاذ قرارات حول أي الثغرات يتم إصلاحها أولاً عندما يكون قائمة الانتظار أطول مما يمكن لأي فريق إنجازه.

مشروع Lightwell من IBM بقيمة 5 مليار دولار هو إجابة واحدة لهذا التحدي. لكن 5 مليار دولار عبر النظام البيئي للمصادر المفتوحة بأكمله، موزعة على آلاف المشاريع وربما عشرات الآلاف من الثغرات سنويًا، لا تكفي كما قد يبدو. المشكلة الهيكلية — أن أمن المصادر المفتوحة يعتمد على العمل التطوعي بينما البرمجيات التي ينتجها مضمنة في البنية التحتية الحيوية — تسبق الذكاء الاصطناعي ولن تحلها أي مبادرة واحدة.

ما يفعله الذكاء الاصطناعي هو جعل الفجوة مرئية على نطاق يصعب تجاهله. 10,000 ثغرة في 30 يومًا من Glasswing ليست شذوذًا سيتم إصلاحه ونسيانه. إنها معاينة لما تبدو عليه التدقيق الآلي المنهجي المدعوم بالذكاء الاصطناعي على نطاق الإنتاج.

ماذا يعني للمهاجمين

هناك بُعد لمشروع Glasswing تتعامل معه Anthropic بحذر لكن لا يمكن تجاهله: إذا كان المدافعون يمكنهم استخدام الذكاء الاصطناعي للعثور على ثغرات بهذا النطاق، فالمهاجمون يمكنهم ذلك أيضًا. نفس قدرات النموذج التي سمحت لـ Claude Mythos بمسح OpenBSD بحثًا عن ثغرات عمرها 27 عامًا يمكن، من حيث المبدأ، تطبيقها من قبل أي شخص لديه إمكانية الوصول إلى نظام قادر بما فيه الكفاية وبدون القيود الدفاعية التي بنتها Anthropic.

مشروع Glasswing هو رهان Anthropic على أن نشر هذه القدرة دفاعيًا، أولاً، وعلى نطاق واسع — عبر أكثر من 50 مؤسسة شريكة بما في ذلك كل منصات السحابة الكبرى — هو أفضل استراتيجية متاحة للتقدم على الاستخدام الهجومي. المنطق سليم: إذا كانت الثغرات ستُكتشف بالذكاء الاصطناعي في النهاية، فمن الأفضل العثور عليها أولاً وإصلاحها قبل أن يجدها الخصم ويستغلها. لكن ذلك يعتمد على قدرة نظام التصحيح على مواكبة الاكتشاف. إذا لم يستطع، فإن أبحاث الثغرات المدعومة بالذكاء الاصطناعي تصبح أقرب إلى المسؤولية منها إلى الأصل: توثيق أفضل لمشكلة لا يمكن إصلاحها بالسرعة الكافية.

السؤال المفتوح

عشرة آلاف ثغرة حرجة في 30 يومًا هو رقم كان سيكون مستحيلًا تحقيقه تشغيليًا قبل عام. التكنولوجيا اللازمة لإنتاجه موجودة الآن ومنشورة. السؤال هو ما إذا كان النظام البيئي المصمم لاستيعاب ومعالجة الثغرات — القائمون على الصيانة، خطوط أنابيب التصحيح، عمليات الإفصاح المنسقة، فرق الأمن المؤسسي — يمكنه مواكبة هذه الوتيرة.

إذا كانت الإجابة نعم، فإن أبحاث الأمن المدعومة بالذكاء الاصطناعي مثل Project Glasswing ستجعل البرمجيات أكثر أمانًا بشكل ملموس. الثغرات التي اختبأت لعقود ستُكتشف وتُصلح وتُغلق قبل أن يصل إليها المهاجمون.

إذا كانت الإجابة لا، سننتهي إلى نظام بيئي برمجي غير آمن ولكنه الأكثر توثيقًا شمولاً في التاريخ — وفجوة بين ما هو معروف أنه مكسور وما تم إصلاحه فعليًا، سيجدها المهاجمون مفيدة جدًا.

الإجابة لن تأتي من Anthropic. ستأتي من ما إذا كان بقية الصناعة قادرًا على بناء البنية التحتية لمواكبة ما جعله الذكاء الاصطناعي ممكنًا.

Originally reported by The Hacker News. Read the original article for additional details.

View original source
مشاركة: