كشفت مجموعة استخبارات التهديدات لدى Google، المعروفة اختصاراً باسم GTIG، عن رصد استغلال 90 ثغرة يوم صفري (Zero-day) في هجمات واقعية خلال عام 2025. ويعكس هذا الرقم انتقالاً واضحاً في مركز ثقل العمليات الهجومية نحو تقنيات المؤسسات وأجهزة حافة الشبكة، مثل الجدران النارية، وخوادم الـ VPN، والمنصات الافتراضية.
ويشير التقرير إلى أن وتيرة الاستغلال استقرت خلال الأعوام الأربعة الأخيرة ضمن نطاق مرتفع يتراوح بين 60 و100 ثغرة سنوياً، وهو اتجاه يؤكد أن استغلال الثغرات قبل إتاحة التصحيحات البرمجية بات يتحرك ضمن خط أساس جديد ومستقر نسبياً في البيئة السيبرانية.
ويورد التقرير أرقاماً تعكس هذا التحول بصورة مباشرة، حيث أصابت 43 ثغرة من أصل 90، أي ما يعادل 48%، برمجيات وأجهزة مؤسسية خلال عام 2025. وتعد هذه النسبة هي الأعلى التي ترصدها GTIG منذ بدء هذا المسار التحليلي، بعدما كانت قد بلغت 46% في عام 2024.
وفي الوقت ذاته، واصل الاستغلال المرصود في المتصفحات تراجعه إلى مستويات تاريخية منخفضة، في حين ارتفع الاعتماد على ثغرات أنظمة التشغيل، وخصوصاً ضمن بيئات سطح المكتب والهواتف المحمولة.
وتعتمد GTIG في تحليلها تعريفاً محدداً لثغرة يوم صفري، وهي الثغرة التي يجري استغلالها بشكل خبيث في الميدان قبل إتاحة التصحيح علناً، مع التأكيد على أن التحليل يستند إلى أبحاث Google وتقارير مفتوحة موثوقة، رغم إقرار الفريق بصعوبة التحقق المستقل من كل مصدر واحتمالية تغير الأرقام مع ظهور معلومات لاحقة.
دوافع الاستقرار الهجومي وتصاعد استهداف أجهزة حافة الشبكة
يضع التقرير حصيلة عام 2025 ضمن مسار يبدو متقلباً في الظاهر لكنه متماسك في دلالته العامة، فبعد تسجيل 100 ثغرة في عام 2023، انخفض العدد إلى 78 في عام 2024، ليعاود الارتفاع إلى 90 ثغرة في العام الماضي.
وتقرأ Google هذا المسار بوصفه استقراراً عند مستوى مرتفع مقارنة بما كان سائداً قبل عام 2021، وليس مجرد تقلب عابر. ويظهر هذا الاستقرار في التوزيع القطاعي، حيث لم تعد الفئة المؤسسية هامشية بل أصبحت في قلب الهجمات بسبب القيمة التشغيلية العالية التي تمنحها المنصات المترابطة داخل الشبكات، إذ توفر وصولاً واسع الامتيازات وتتيح التوسع السريع داخل البيئة المستهدفة.
ويفسر التقرير صعود الأجهزة الطرفية (Edge Devices) بعوامل عملية مباشرة، فهذه الأجهزة تقع في مقدمة البنية التحتية وتمنح منفذاً عالي الحساسية، لكنها تفتقر في حالات كثيرة إلى قدرات رصد طرفي متقدمة من النوع الموجود في الحواسيب والخوادم. ويؤدي هذا النقص إلى خلق فجوة رصد تعطل اكتشاف السلوك الشاذ وتحد من جمع الأدلة بعد الاختراق.
وقد شكلت ثغرات الأمن والشبكات نحو نصف ثغرات المؤسسات في عام 2025، بواقع 21 ثغرة، ويعود ذلك لأسباب متكررة مثل ضعف التحقق من المدخلات أو قصور آليات التفويض، وهي أخطاء يصفها التقرير بأنها قابلة للعلاج عند توافر معايير تنفيذ صارمة في التطوير.
صراع النفوذ الرقمي وتوقعات السباق التقني في عام 2026
شهد عام 2025 ذروة استغلال تقنيات المؤسسات مع تراجع واضح للمتصفحات وعودة أنظمة التشغيل للواجهة، حيث مثلت أنظمة سطح المكتب والهواتف 44% من إجمالي الثغرات بواقع 39 ثغرة. ويربط التقرير ارتفاع عدد ثغرات الهواتف إلى 15 ثغرة بتعقد سلاسل الاستغلال، إذ يحتاج المهاجمون أحياناً إلى 3 ثغرات أو أكثر لتحقيق هدف واحد داخل مكونات محصنة، ما يرفع العدد الإحصائي للثغرات المستخدمة.
ومن أبرز التحولات نسبُ عدد أكبر من الثغرات لموردي المراقبة التجارية مقارنة بمجموعات التجسس الحكومية التقليدية، وهو مؤشر على اتساع سوق أدوات الاختراق.
وبالنظر إلى عام 2026، يتوقع التقرير توسع الأهداف والتقنيات تحت ضغط الذكاء الاصطناعي، حيث يتجه المهاجمون لاستخدامه في تسريع الاستطلاع واكتشاف الثغرات، ما يقلص الزمن الفاصل بين الاكتشاف والتسليح الهجومي.
وفي المقابل، يتوقع التقرير استخدام المدافعين للذكاء الاصطناعي والحلول الوكيلة لدعم العمليات الأمنية والبحث الاستباقي عن الثغرات غير المعروفة لمعالجتها مبكراً. ويمثل تقرير Google في جوهره توصيفاً لتحول بنيوي في ساحة التهديدات، حيث تتقدم أجهزة الحافة لواجهة الاستهداف وتتسع قاعدة الجهات القادرة على الوصول لأدوات الاستغلال المتطورة.
