أعلنت شركة Anthropic إطلاق نموذجها الأحدث Claude Opus 4.6، كاشفة في الوقت ذاته عن نتائج اختبارات داخلية أفضت إلى اكتشاف أكثر من 500 ثغرة أمنية عالية الخطورة وغير معروفة سابقاً في مكتبات مفتوحة المصدر، وذلك بالاعتماد على قدرات النموذج الذاتية وبحد أدنى من التوجيه البشري.
ويضيف هذا الطرح بعداً عملياً إلى النقاش الدائر حول الذكاء الاصطناعي مزدوج الاستخدام؛ إذ تتسارع في ظله قدرات الدفاع السيبراني، مع بقاء احتمالات التوظيف الهجومي قائمة في حال غياب الضوابط الصارمة.
ما الذي أعلنته Anthropic تحديداً؟
بحسب ما نقلته منصة Axios عن الشركة، اختبر فريق Frontier Red Team قدرات Claude Opus 4.6 في بيئة معزولة، وخرجت التجربة بحصيلة تتجاوز 500 ثغرة يوم صفري في مشاريع مفتوحة المصدر. وتؤكد Anthropic أن كل ثغرة جرى التحقق منها بدقة قبل اعتمادها، سواء عبر فريقها الداخلي أو من خلال باحثين أمنيين خارجيين.
وفقاً لما ذكرته التقارير، توزعت هذه الثغرات بين مشكلات تتسبب في تعطيل الأنظمة كلياً وأخرى تؤدي إلى تداخل البيانات وتلفها، ما يزيد من خطورتها. وقد قدمت الشركة 3 أمثلة لمشاريع برمجية مشهورة لشرح ما فعله النموذج:
- برنامج Ghostscript (المسؤول عن ملفات PDF): بعد فشل المحاولات التقليدية في العثور على أخطاء، قام النموذج بالبحث في تاريخ تحديثات البرنامج، واكتشف طريقاً أو مساراً برمجياً قديماً نسي المبرمجون تأمينه، فصنع ملفاً خاصاً أثبت من خلاله أنه قادر على إيقاف البرنامج عن العمل تماماً.
- برنامج OpenSC (المسؤول عن البطاقات الذكية): لاحظ النموذج وجود خطأ في طريقة دمج النصوص؛ حيث يجمع البرنامج معلومات طويلة ووضعها في مساحة تخزين صغيرة جداً دون التأكد من كفايتها، ما يؤدي إلى فيضان البيانات (Buffer Overflow) وخروجها عن السيطرة.
- برنامج CGIF (المسؤول عن صور GIF): اكتشف النموذج أن المبرمجين افترضوا خطأً أن الصور المضغوطة ستكون دائماً أصغر حجماً من الصور العادية. وبناء على هذا الافتراض، صمم سلسلة بيانات تجعل الحجم المضغوط أكبر من المتوقع، وأدى ذلك إلى حدوث خلل تقني عند معالجتها.
كيف جرت التجربة؟ ولماذا اعتبرت نقطة تحول؟
أوضحت Anthropic أنها وضعت النموذج Claude داخل بيئة حاسوبية معزولة ومجهزة بالأدوات التي يستخدمها خبراء الأمن عادة، مثل أدوات فحص الأخطاء وبرامج اختبار الثغرات. ولم تمنحه الشركة أي قالب جاهز أو تعليمات مسبقة تشرح له كيفية الربط بين هذه الأدوات والبرمجيات المراد فحصها؛ بل تركت له حرية التصرف ليرسم خطته بنفسه ويتخذ خطوات البحث كأنه خبير بشري مستقل.
وتشرح الشركة أن هناك فرقاً جوهرياً بين أسلوب النموذج وما كان يحدث سابقاً؛ ففي الطريقة التقليدية، تعتمد البرامج على ضخ كميات ضخمة من البيانات العشوائية وغير المنطقية للضغط على البرنامج حتى ينهار وتظهر ثغرته. أما نموذج Claude، فقد سلك طريقاً يشبه تفكير الإنسان؛ حيث بدأ بقراءة كود البرنامج وفهم كيفية بنائه، وتتبع الأنماط المتكررة، بل وعاد ليرى كيف جرى إصلاح أخطاء مشابهة في الماضي. وبناءً على هذا الفهم، صمم مدخلات ذكية تستهدف نقاط الضعف التي استنتج وجودها.
جانب الحوكمة: من يضبط نموذجاً يكتشف ثغرات اليوم الصفري؟
تتعامل Anthropic مع هذه القدرة بوصفها خطراً مزدوجاً، معلنة عن إضافة طبقة كشف جديدة مرتبطة بسلوكيات إساءة الاستخدام السيبراني. وتعتمد هذه الطبقة على مجسات رقمية لقياس أنماط داخلية أثناء توليد الاستجابة، وربطها بسير عمل إنفاذ سريع قد يصل إلى التدخل اللحظي وحجب حركة المرور الضارة.
تلمح Anthropic إلى أن أعراف الإفصاح الشائعة، ومنها نافذة الـ 90 يوماً، قد تتعرض لضغوط متزايدة أمام سرعة وحجم الثغرات المكتشفة آلياً. وتبرز الحاجة إلى آليات تمكن من الصيانة والتصحيح على نطاق أوسع وإيقاع أسرع، لتفادي تحول وفرة الاكتشافات إلى تكدس يرهق فرق الصيانة.
المدافعون والمهاجمون: موازين القوى الجديدة
على مستوى الدفاع، تبرز فرصة لتقليص زمن الاستغلال عبر تسريع اكتشاف الثغرات قبل إساءة استخدامها، بشرط خفض الاكتشافات الكاذبة وإنتاج تقارير قابلة للتحقق. كما تظهر أهمية مساعدة المشاريع مفتوحة المصدر في بناء التصحيحات البرمجية وليس الاكتفاء بالإبلاغ.
في المقابل، يظل خطر إساءة الاستخدام قائماً؛ فالقدرة على اكتشاف ثغرات اليوم الصفري بسرعة قد تغري الجهات الهجومية، خاصة عند توفر نماذج مشابهة غير مقيدة بضوابط المزودين التجاريين. لذا، تصبح آليات الكشف وتتبع الإساءة جزءاً لا يتجزأ من قيمة النموذج نفسه.
ما الجديد في Claude Opus 4.6 خارج الأمن السيبراني؟
ذكرت Anthropic أن النموذج الجديد يمنح قفزة في قدرات البرمجة الذاتية؛ حيث يستطيع العمل كوكيل ذكي داخل المشاريع البرمجية الضخمة، مع تحسن كبير في فحص الأخطاء وتدقيق الأكواد. كما أصبح بإمكان النموذج استيعاب كميات هائلة من البيانات في المرة الواحدة، بفضل توسيع ذاكرة القراءة لتصل إلى مليون وحدة (Token) لأول مرة في هذه الفئة.
