كشفت تجربة تقنية حديثة عن تطور ملموس في قدرات النماذج اللغوية التجارية على دعم بناء استغلالات برمجية (Exploits) قابلة للتنفيذ. وأظهرت بيانات الباحثين نجاح نموذج Claude Opus 4.6، عبر تفاعل مستمر لمدة أسبوع، في إنتاج سلسلة استغلال تعمل على متصفح Chrome المدمج داخل تطبيق Discord.
بلغت التكلفة الإجمالية لهذه العملية 2,283 دولاراً أمريكياً عبر واجهة برمجة التطبيقات (API)؛ حيث شمل الإنفاق 2,014 دولاراً لمعالجة نحو 2.14 مليار رمز (Tokens) باستخدام Claude Opus 4.6 في وضع الأداء العالي (high)، إضافة إلى 267 دولاراً لمعالجة 189 مليون رمز في وضع التفكير العالي (high thinking). كما تضمنت التكلفة مبالغ ضئيلة لاستخدامات مساندة شملت طرازي Claude Sonnet وGPT 5.4، ليصل مجموع الرموز المستهلكة إلى 2.33 مليار رمز عبر 1,765 طلباً برمجياً.
استند تقرير تقني إلى نتائج أعلنها موهان بيدهابتي (Mohan Pedhapati)، الشريك المؤسس والرئيس التقني في شركة Hacktron. وقد استهدفت التجربة نسخة Chrome 138 المدمجة في منصة Discord، وهي إصدار يتأخر بتسع مراحل رئيسية عن النسخة الأحدث المتوفرة حالياً. وتركز العمل على بناء سلسلة استغلال كاملة لمحرك V8، المسؤول عن تنفيذ لغة JavaScript داخل المتصفح.
من الناحية التقنية، تعود الثغرة الأساسية المستخدمة إلى إصدار Chrome 146، وهو الإصدار ذاته الذي يعتمد عليه تطبيق Claude Desktop التابع لشركة Anthropic. وقد تطلبت التجربة أسبوعاً من العمل التفاعلي، تخلله نحو 20 ساعة من التدخل البشري المباشر لتجاوز العقبات التقنية، وانتهت بتشغيل برنامج calc كاختبار معياري لإثبات القدرة على تنفيذ الأوامر البرمجية على الجهاز المستهدف.
الأبعاد الاقتصادية وفجوة التحديث في تطبيقات Electron
تتجاوز أهمية هذه التجربة حدود التكاليف المباشرة؛ فهي تعكس انخفاض العوائق المالية لتحويل الثغرات المعروفة، أو الفروق الناتجة عن التصحيحات البرمجية، إلى أدوات هجومية فعالة. وعند إضافة قيمة الجهد البشري المبذول، قدّرت شركة Hacktron التكلفة الكلية للعملية بنحو 6,283 دولاراً، وهو مستوى مالي منخفض بالنظر إلى إمكانية استرداد هذه المبالغ عبر برامج مكافآت الثغرات القانونية؛ إذ يمنح برنامج Google v8CTF مكافأة قدرها 10 آلاف دولار لكل استغلال صالح، بينما بلغت قيمتها في حالات سابقة 5 آلاف دولار، مع وجود احتمالات لتحقيق أرباح أعلى في الأسواق الخاصة أو غير المشروعة.
ويعيد هذا المشهد صياغة الجدوى الاقتصادية للهجمات المدفوعة بتقنيات الذكاء الاصطناعي، خاصة أن تكلفة التطوير كانت تمثل في السابق عائقاً جوهرياً أمام المهاجمين.
من جانب آخر، سلطت التجربة الضوء على ثغرة تقنية هيكلية في التطبيقات التي تعتمد على إطار عمل Electron، مثل Discord وSlack وTeams؛ حيث تستخدم هذه المنصات نسخاً مدمجة من متصفح Chromium تتأخر غالباً عن مواكبة التحديثات الأمنية الصادرة للمتصفح الأصلي. ويؤدي هذا التأخر إلى نشوء نافذة زمنية تظل فيها ثغرات محرك V8 قابلة للاستغلال حتى بعد توفر الحلول التقنية لها.
أشار التقرير أيضاً إلى وجود سوابق نجح فيها باحثون في تنفيذ برمجيات عن بُعد (RCE) على تطبيق Discord، في ظل استمرار بعض التطبيقات في العمل بإصدارات تفتقر إلى آليات الحماية الجوهرية مثل العزل (Sandboxing). ويُعرف هذا النظام الأمني بأنه بيئة تشغيل محدودة تمنع وصول البرامج إلى بقية أجزاء الجهاز، وبالتالي فإن غيابه يسهل مهمة المهاجمين في بناء سلاسل استغلال متكاملة.
قيود النماذج اللغوية والتحولات المستقبلية في مشهد التهديدات
أوضح بيدهابتي أن نموذج Claude Opus لم يعمل باستقلالية تامة خلال التجربة، بل استلزم الوصول إلى نتائج عملية وجود إشراف بشري مكثف؛ حيث لوحظ تعثر النموذج في حالات متكررة وفقدانه للسياق المطلوب، مع ميله أحياناً إلى التخمين أو تغيير الهدف عند مواجهة تعقيدات تقنية. وبما أن النموذج لا يمتلك حالياً القدرة على استعادة مساره البرمجي تلقائياً عند وقوع انحراف في الأداء، تقع على عاتق المشغل البشري مسؤولية تصحيح البيئة وتتبع الأخطاء وإعادة توجيه الجلسات. وتحد هذه المعطيات من فرضية قدرة النماذج الحالية على تنفيذ هجمات شاملة دون تدخل، رغم تأكيد الباحثين أن مساحة واسعة من العمل اليدوي أصبحت الآن قابلة للأتمتة أو التسريع الزمني.
ويتجه المسار العام نحو تقليص الحاجة للتدخل البشري مع تطور النماذج اللغوية؛ إذ يتوقع الخبراء أن يؤدي تسارع القدرات التقنية إلى اختصار الزمن اللازم لتحويل الثغرات إلى أدوات هجومية، في ظل بقاء دورات التحديث المؤسسية أكثر بطئاً. وتؤدي التصحيحات الأمنية دوراً مزدوجاً؛ فهي تعمل كمصدر إرشاد للمهاجمين عبر كشف مواضع الخلل السابقة في أنظمة مثل Chromium أو Linux kernel، كما أصبح بالإمكان تسريع عملية الهندسة العكسية باستخدام الذكاء الاصطناعي في حال توفر مشغل متمكن.
وتزداد خطورة هذا الأمر في البرمجيات مفتوحة المصدر التي تتيح الفروق البرمجية للعامة قبل وصول التحديثات لجميع المستخدمين، ما قد ينقل الأفضلية مستقبلاً نحو الفرق الصغيرة ذات المهارات العالية التي تستطيع إدارة مسارات هجومية متعددة ومتوازية مدعومة بالذكاء الاصطناعي، ما يضاعف الأثر التخريبي مقارنة بالفرق التقليدية الأكبر حجماً.
جاءت هذه النتائج بالتزامن مع إعلان شركة Anthropic في السابع من أبريل 2026 عن نموذج Claude Mythos Preview، الذي يتمتع بقدرات متقدمة في مهام الأمن السيبراني، إلى جانب مشروع Glasswing الموجه للأغراض الدفاعية.
وأفادت الشركة بأن نموذجها الجديد أظهر كفاءة في اكتشاف واستغلال ثغرات “يوم صفري” (Zero-day)، وذكرت الورقة الفنية أن باحثين غير متخصصين أمنياً حصلوا على نماذج استغلال عاملة خلال ساعات، وهو ما يمثل طفرة مقارنة بمعدلات نجاح Opus 4.6 السابقة.
ويعزز هذا التوافق بين تجربة Hacktron وإعلانات Anthropic المؤشرات على أن تطوير الاستغلالات أصبح مرتبطاً بنماذج متاحة يمكنها إنتاج نتائج عملية ذات جدوى اقتصادية؛ ما يفرض ضرورة تبني استراتيجيات دفاعية تشمل إدارة الاعتماديات البرمجية بدقة، وفرض التحديثات التلقائية لتقليص الفجوة الأمنية.
