في خطوة لافتة ضمن مسابقة Pwn2Own التي استضافتها مدينة كورك الأيرلندية بين 21 و23 أكتوبر 2025، قرر فريق الباحثين الأمنيين Team Z3 سحب عرضهم العملي لاختبار ثغرة محتملة من نوع Zero-Click تتيح تنفيذ تعليمات برمجية عن بُعد في تطبيق WhatsApp، مفضلين بدلاً من ذلك إبلاغ شركة Meta سراً عبر القنوات الرسمية المخصصة للإفصاح المنسق.
وكانت المسابقة قد خصصت مكافأة قياسية بلغت مليون دولار لاكتشاف مثل هذه الثغرات في WhatsApp، مما جعل الحدث محط اهتمام واسع من الأوساط التقنية والأمنية حول العالم، خصوصاً في ظل الاستخدام العالمي للتطبيق من قبل نحو ثلاثة مليارات مستخدم.
وأثار انسحاب الفريق خيبة أمل بين الحضور والمشاركين، إذ كان من المتوقع أن يكون هذا الاستغلال أبرز عروض المسابقة وربما الأعلى قيمة في تاريخها. وأوضح منظمو الحدث من مبادرة Zero Day Initiative (ZDI) أن فريق Team Z3 اعتبر أن نتائج بحثه ليست جاهزة للعرض العلني الكامل. ورغم ذلك، أشارت ZDI إلى أن القرار يعكس التزاماً بالمسؤولية، حيث ستُحال النتائج الأولية إلى مهندسي Meta لإجراء تقييم شامل وضمان استجابة منظمة لأي ثغرات مؤكدة.
بدورها، أعربت Meta – الشركة المالكة لتطبيق WhatsApp والمشاركة في رعاية المسابقة إلى جانب Synology وQNAP – عن اهتمامها الكبير بما توصل إليه الباحثون، مؤكدة استمرار جهودها في تطوير قدرات الدفاع ضد الهجمات المتقدمة، خاصة تلك التي تُعرف بالهجمات الصفرية Zero-Click، والتي لا تتطلب أي تفاعل من المستخدم وغالباً ما تُستغل في حملات تجسس تستهدف شخصيات بارزة حول العالم.
من خلال هذا النهج، منحت ZDI شركة Meta فترة تصل إلى 90 يوماً بعد انتهاء المسابقة لمعالجة الثغرات قبل الكشف عنها علناً، بما يتوافق مع معايير أخلاقيات البحث الأمني العالمية.
وتسلط هذه الواقعة الضوء على تطور مشهد مكافآت اكتشاف الثغرات وأساليب الإفصاح المنسق في صناعة الأمن السيبراني. وبينما بلغ إجمالي الجوائز في Pwn2Own Ireland أكثر من 1.024 مليون دولار لتسجيل 73 ثغرة جديدة في أجهزة متنوعة من بينها Galaxy S25 وعدد من الطابعات، فإن حادثة WhatsApp تحديداً تعيد التذكير بحساسية التطبيقات واسعة الانتشار وما تحمله من مخاطر كامنة رغم شعبيتها.
ولم تفصح أي جهة حتى الآن عن تفاصيل الثغرة أو النسخ المتأثرة أو رموز CVE المحتملة، إلا أن خبراء الأمن السيبراني يتوقعون أن تُصدر Meta تحديثاً عاجلاً لتصحيح الخلل قبل استغلاله في بيئات واقعية.
وبينما تتابع مجتمعات الأمن السيبراني باهتمام مجريات التحقيق ونتائج الاختبارات، يبرز قرار Team Z3 نموذجاً للتوازن بين الشفافية وحماية المستخدمين، في وقت تتزايد فيه أهمية الثقة بين الباحثين والشركات التقنية في مواجهة التهديدات السيبرانية المتصاعدة.
