أعلنت Anthropic أن نموذجها Claude Opus 4.6 ساهم في اكتشاف 22 ثغرة أمنية جديدة في متصفح Firefox، وذلك ضمن تعاون أمني مع Mozilla. وتأتي هذه الخطوة لتعكس اتساع نطاق استخدام الذكاء الاصطناعي في تحليل الشيفرات البرمجية المعقدة واختبار أمن المتصفحات.
وبحسب ما أوردته الشركة، صُنفت 14 ثغرة من هذه الثغرات على أنها عالية الخطورة، و7 ثغرات متوسطة الخطورة، بالإضافة إلى ثغرة واحدة منخفضة الخطورة. وقد تمت معالجة معظم هذه المشكلات في إصدار Firefox 148 الذي صدر في أواخر فبراير 2026، بينما ينتظر إصلاح ما تبقى منها في إصدارات لاحقة.
وذكرت Anthropic أن رصد الثغرات جرى خلال فترة اختبار استمرت أسبوعين في يناير 2026، شملت فحص نحو 6 آلاف ملف بلغة ++C وتقديم 112 تقريراً فريداً إلى Mozilla. كما أشارت الشركة إلى أن عدد الثغرات عالية الخطورة التي حددها النموذج يعادل نحو خُمس الثغرات العالية التي عالجها Firefox خلال عام 2025.
وتشير التفاصيل المنشورة إلى تمكن النموذج، خلال اختبار أولي، من اكتشاف ثغرة من نوع استخدام بعد التحرر (use-after-free) في JavaScript بعد وقت قصير من بدء التحليل، قبل أن يتحقق منها باحث بشري داخل بيئة افتراضية للحد من احتمالات النتائج الخاطئة.
واختبرت Anthropic أيضاً قدرة النموذج على تطوير استغلال عملي للثغرات التي قُدمت إلى Mozilla. فبعد مئات المحاولات وبكلفة بلغت نحو 4 آلاف دولار من أرصدة واجهة البرمجة API، تمكن Claude Opus 4.6 من إنتاج استغلال ناجح في حالتين فقط؛ ما يشير إلى أن العثور على الثغرات ما زال أقل كلفة وأسهل من تحويلها إلى استغلال عملي قابل للتكرار.
ومن بين الحالات التي أُشير إليها، برزت الثغرة (CVE-2026-2796 بتقييم CVSS عند 9.8)، وهي مرتبطة بخطأ في التحويل البرمجي الفوري (JIT) ضمن مكون JavaScript WebAssembly. وأوضحت Anthropic أن الاختبارات جرت داخل بيئة محدودة أزيلت منها بعض آليات الحماية، مثل العزل، لأغراض البحث والتحقق.
من جانبها، أكدت Mozilla أن النهج المدعوم بالذكاء الاصطناعي ساعد أيضاً في كشف 90 خللاً آخر عولج معظمها، وشمل ذلك أعطال تحقق منطقية ومشكلات تتقاطع مع ما تكشفه أدوات الاختبار العشوائي (fuzzing)، إضافة إلى فئات من الأخطاء لم تتمكن تلك الأدوات التقليدية من رصدها.
أبعاد أمنية أوسع
تعكس هذه النتائج اتجاهاً متنامياً نحو استخدام نماذج اللغة الكبيرة (LLMs) في أعمال الأمن التطبيقي؛ حيث لا يقتصر دورها على تلخيص التقارير أو مساعدة المطورين، بل يمتد للمشاركة الفعالة في تحليل الشيفرات واكتشاف العيوب والتحقق من الإصلاحات. غير أن قدرة النموذج على إنتاج استغلال أولي، ولو في نطاق محدود، تبرز في الوقت نفسه الحاجة إلى ضوابط دقيقة عند توظيف الذكاء الاصطناعي في أبحاث الثغرات
