أعلنت شركة Microsoft عن تخصيص مكافآت مالية بلغت قيمتها الإجمالية 2.3 مليون دولار للباحثين الأمنيين المشاركين في فعالية “Zero Day Quest 2026”. وجاء هذا الإعلان عقب مراجعة وتحليل نحو 700 بلاغ أمني استقبلتها الشركة خلال مرحلتي التحدي البحثي والفعالية الحية؛ وهو توجه يعكس رغبة المؤسسة في تعميق التعاون مع مجتمع الأمن السيبراني العالمي للكشف الاستباقي عن الثغرات المؤثرة في خدمات الحوسبة السحابية وتقنيات الذكاء الاصطناعي، وضمان معالجتها برمجياً قبل استغلالها في تهديدات واقعية.
وفي تدوينة رسمية صدرت في 13 أبريل 2026، أوضح “توم غالاغر”، نائب رئيس الهندسة في مركز استجابة Microsoft الأمني MSRC، أن الفعالية شهدت مشاركة واسعة من خبراء يمثلون أكثر من 20 دولة. وقد أثمرت هذه الجهود المشتركة عن تحديد ومعالجة ما يزيد عن 80 ثغرة أمنية عالية الخطورة في بيئات السحابة والذكاء الاصطناعي.
ويعتمد برنامج Zero Day Quest في تصميمه التقني على دمج التحديات البحثية المفتوحة مع فعاليات الاختراق الحية؛ ما يتيح تفاعلاً تقنياً مباشراً بين الباحثين المستقلين وفرق الهندسة والأمن الداخلي بالشركة، للتركيز على أنماط الثغرات ذات التأثير المباشر في سلامة بيانات العملاء.
تحليل نقاط الضعف المركزية في الهوية وعزل المستأجرين
كشفت نتائج الاختبارات المكثفة أن الثغرات المرتبطة بضوابط الهوية وبروتوكولات “عزل المستأجرين” (Tenant Isolation)، وهي التقنية المسؤولة عن فصل بيانات وموارد المستخدمين في الخوادم المشتركة، تمثل مسارات حرجة للاختراق، وتزداد خطورتها عند اقترانها بمشكلات التنفيذ البرمجي أو عيوب الشبكة. وقد أكدت Microsoft أن كافة العمليات البحثية نُفذت داخل بيئات اختبار معزولة ومصرح بها قانوناً، مع ضمان الحماية الكاملة لبيانات المستخدمين الحقيقية.
وتمكن المشاركون من إثبات قدرة بعض الثغرات على كشف بيانات الاعتماد، وبناء سلاسل هجوم من نوع SSRF، وهو تلاعب برمج يسمح للمهاجم بجعل الخادم يرسل طلبات غير مصرح بها نيابة عنه، بالإضافة إلى رصد حالات وصول عابر غير قانوني بين حسابات المستأجرين في البيئة الاختبارية.
تسهم هذه النتائج بشكل مباشر في رفد مبادرة “المستقبل الآمن” بالبيانات اللازمة لتطوير أطر الحماية وآليات الكشف والعزل. وتعمل الشركة حالياً على تعميم الدروس المستفادة بين فرقها الهندسية لضمان رصد الأنماط البرمجية المتكررة في مراحل مبكرة من دورة حياة تطوير البرمجيات.
ويعد إنجاز عام 2026 تطوراً ملحوظاً مقارنة بنسخة عام 2025، التي سجلت 600 بلاغ بمكافآت بلغت 1.6 مليون دولار؛ خاصة مع رفع سقف الجوائز المحتملة إلى 5 ملايين دولار، والتركيز المكثف على تأمين منصات Copilot وتقنيات الذكاء الاصطناعي.
هيكلية الحوافز المادية وتوسيع نطاق الشراكة الأمنية
اشتمل البرنامج على مراحل زمنية بدأت بتحدٍ بحثي امتد من أغسطس إلى أكتوبر 2025، واختُتم بفعالية حية في مدينة ريدموند خلال ربيع 2026 بمشاركة نخبة من الباحثين. وقد توسع نطاق الفحص ليشمل قائمة طويلة من الخدمات الحيوية، أبرزها Microsoft Azure، وAzure DevOps، وMicrosoft Defender، بالإضافة إلى Microsoft Dynamics 365، وPower Platform، وMicrosoft Identity. كما شملت الاختبارات حزمة M365، وخدمات Microsoft Copilot، وMicrosoft 365 Copilot.
وفي خطوة لتعزيز التحفيز، قررت الشركة منح مكافآت مضاعفة لفئات معينة من العيوب الأمنية الحرجة، شملت تجاوزات المصادقة متعددة العوامل، وحالات الإفصاح عن البيانات المؤسسية التي لا تتطلب تفاعلاً من المستخدم، بالإضافة إلى ثغرات التنفيذ البرمجي عن بُعد وتجاوزات التفويض.
تُعد هذه الخطوات جزءاً من برنامج مكافآت الثغرات الشامل في Microsoft، والذي تجاوزت مدفوعاته الإجمالية 60 مليون دولار منذ انطلاقه في عام 2013. وقد سجلت الشركة خلال العام الممتد بين يوليو 2024 ويونيو 2025 صرف 17 مليون دولار لخبراء من 59 دولة.
وتجدد الشركة التزامها بآلية الإفصاح المنسق عن الثغرات Coordinated Vulnerability Disclosure لضمان التعامل مع المشكلات الأمنية بشكل مسؤول، مع الاستمرار في إصدار معرفات CVE للثغرات الحرجة؛ وذلك لتعزيز الشفافية المؤسسية وتحسين مستويات الأمان في الإعدادات الافتراضية والعمليات التشغيلية للمنصات السحابية.
