نموذج من Anthropic يرصد 22 ثغرة في متصفح Firefox خلال أسبوعين

كشفت التجربة المشتركة بين شركتي Anthropic وMozilla عن مرحلة متقدمة في توظيف نماذج الذكاء الاصطناعي لاكتشاف الثغرات الأمنية، حيث نجح نموذج Claude Opus 4.6 خلال أسبوعين من العمل في رصد 22 ثغرة أمنية ضمن متصفح Firefox. تضمنت هذه النتائج 14 ثغرة صُنفت كتهديدات عالية الخطورة. وأعلنت الشركتان هذه البيانات في السادس من مارس 2026، معتبرتين النتائج مؤشراً حقيقياً على قدرة التحليل الآلي في تسريع فحص البرمجيات المعقدة التي خضعت سابقاً لتدقيق بشري مكثف لسنوات طويلة.

اعتمدت Anthropic في اختبارها الداخلي على Firefox نظراً لضخامة الكود المصدري الخاص به وتاريخه الطويل في المراجعات الأمنية، بالإضافة إلى طبيعته كمشروع مفتوح المصدر. استغرق النموذج نحو 20 دقيقة فقط لتحديد أول ثغرة من نوع Use-After-Free، وهو خلل يتعلق بسوء إدارة الذاكرة البرمجية، داخل محرك JavaScript، وتحقق فريق المختصين من صحة النتائج قبل إرسالها إلى Mozilla عبر منصة Bugzilla المخصصة لتتبع الأعطال.

أثمر هذا التعاون عن إصدار 22 معرف CVE، ودمج الإصلاحات اللازمة ضمن تحديث Firefox 148 الصادر في 24 فبراير 2026. شمل الفحص التقني نحو 6 آلاف ملف مكتوب بلغة ++C، ونتج عنه تقديم 112 تقريراً فريداً، أدت في النهاية إلى توثيق الثغرات المذكورة بالإضافة إلى معالجة 90 عيباً تقنياً ذات أثر منخفض أو متوسط، وتساوي هذه الحصيلة من الثغرات عالية الخطورة نحو 20% من إجمالي الثغرات المماثلة التي أصلحتها Mozilla طوال عام 2025.

الفجوة التقنية بين اكتشاف الثغرات وتطوير برمجيات الاستغلال

أظهرت نتائج الاختبار تبايناً في قدرة الذكاء الاصطناعي على الانتقال من مرحلة كشف الخلل إلى مرحلة بناء استغلال برمجي كامل وفعال في بيئة واقعية. حاولت Anthropic اختبار قدرة Claude على تطوير أكواد لاستغلال الثغرات المكتشفة، إلا أن النموذج نجح في حالتين فقط من بين مئات المحاولات، وبلغت تكلفة العمليات الحسابية عبر الواجهة البرمجية (API) نحو 4 آلاف دولار.

تمت هذه النجاحات المحدودة ضمن بيئة مختبرية تفتقر إلى تقنيات الحماية المتقدمة مثل نظام Sandbox. تؤكد هذه المعطيات أن النماذج الحالية تتفوق في الجوانب الدفاعية والمساعدة على الإصلاح مقارنة بقدراتها الهجومية، ومع ذلك يظل هذا الفاصل الزمني مرشحاً للتقلص في ظل التطور المستمر لهذه التقنيات، وتوجهت Mozilla بالفعل لدمج أدوات التحليل المدعومة بالذكاء الاصطناعي في مسارات عملها الأمنية الداخلية.

تحديات الفرز البرمجي وأثر البلاغات الآلية على المشاريع التقنية

يواجه قطاع البرمجيات مفتوحة المصدر تحدياً يتمثل في زيادة حجم البلاغات غير الدقيقة الناتجة عن أدوات الذكاء الاصطناعي، وهو ما يرفع العبء التشغيلي على فرق الفرز والتحقق. يظهر هذا الأثر في قرار مطور مشروع curl، دانيال ستينبرغ، بإنهاء برنامج مكافآت الثغرات في نهاية يناير 2026، بسبب تزايد البلاغات الخاطئة التي استهلكت وقت الفريق الفني دون فائدة حقيقية.

تتجه أولويات المؤسسات التقنية حالياً نحو بناء قدرات داخلية قوية للتعامل مع سيل البيانات الناتج عن الفحص الآلي، وتبرز الحاجة إلى أدوات دقيقة تميز بين التنبيهات الجادة والضجيج الرقمي. تملك المؤسسات الكبرى القدرة على استيعاب هذا التحول، في حين قد تواجه المشاريع الصغيرة صعوبات في مواكبة وتيرة الاكتشاف المتسارعة، وتوفر هذه المرحلة نافذة زمنية للمدافعين لتطوير آليات استجابة تتناسب مع سرعة رصد العيوب البرمجية قبل أن يتمكن المهاجمون من أتمتة عمليات الاستغلال بشكل كامل.