كيف اكتشف نظام MDASH المدعوم بالذكاء الاصطناعي 16 ثغرة في ويندوز خلال تحديث Patch Tuesday

ما هو نظام MDASH؟

يصف مهندسو مايكروسوفت MDASH بأنه نظام أمني متعدد النماذج قائم على الوكلاء (Agentic System)، صُمم لأتمتة أجزاء كبيرة من عملية اكتشاف الثغرات التي كان يقوم بها الباحثون الأمنيون يدوياً.

بدلاً من الاعتماد على نموذج واحد أو أداة فحص ثابتة، يقوم النظام بتنسيق عمل أكثر من 100 وكيل ذكاء اصطناعي متخصص يعملون معاً لتحليل قواعد شيفرة ضخمة مثل شيفرة نظام ويندوز.

تم تطوير النظام بواسطة فريق Autonomous Code Security في مايكروسوفت بالتعاون مع مجموعة Windows Attack Research and Protection المتخصصة في تحليل الهجمات.

الهدف الأساسي: تسريع اكتشاف الأخطاء القابلة للاستغلال في المشاريع البرمجية الضخمة التي يصعب على البشر تحليلها بالكامل بمفردهم.

كيف يعمل نظام الوكلاء المتعددين

يعمل MDASH عبر سلسلة من المراحل حيث تقوم مجموعات مختلفة من وكلاء الذكاء الاصطناعي بتحليل نفس الشيفرة من زوايا متعددة.

المراحل الرئيسية تشمل:

1. التحضير وبناء نموذج التهديد
يقوم النظام أولاً بتحميل الشيفرة المصدرية وبناء خريطة لسطح الهجوم المحتمل داخل المشروع البرمجي.

2. الفحص واسع النطاق
يقوم عشرات أو مئات الوكلاء المتخصصين بتحليل الشيفرة في وقت واحد، وتوليد فرضيات حول الثغرات المحتملة مع الأدلة التقنية المرتبطة بها.

3. المناقشة والتحقق
تدخل مجموعة أخرى من الوكلاء لتقييم النتائج، حيث تقوم فعلياً "بمجادلة" الفرضيات المطروحة لتحديد ما إذا كانت الثغرة حقيقية أم لا.

4. إزالة التكرار
يتم دمج النتائج المتشابهة دلالياً لتجنب التقارير المكررة.

5. إثبات إمكانية الاستغلال
يحاول النظام أخيراً تشغيل سيناريوهات تثبت أن الثغرة قابلة للاستغلال فعلياً، ما ينتج دليلاً عملياً على وجودها.

هذا الأسلوب يشبه إلى حد كبير طريقة عمل فرق الأمن البشرية — وضع فرضيات ثم اختبارها والتحقق منها — لكنه يحدث بسرعة الآلة وعلى نطاق أكبر بكثير.

مؤشرات الأداء والاختبارات

تشير الاختبارات الأولية إلى أن النظام يقدم أداءً قوياً في اكتشاف الثغرات.

ففي أحد الاختبارات، حقق MDASH نحو 88٪ من الأداء على معيار CyberGym لاكتشاف الثغرات، وهو تقييم يستخدم لاختبار أدوات الأمن السيبراني.

كما أظهرت تجارب داخلية أن النظام تمكن من اكتشاف جميع الثغرات المزروعة عمداً في عينة برنامج تشغيل (driver) خلال الاختبار، ما يشير إلى قدرة عالية على استرجاع الثغرات في بيئات الاختبار.

رغم ذلك، تبقى هذه النتائج مؤشرات تجريبية، ولا تعني بالضرورة أن النظام سيكتشف كل الثغرات في البرامج الواقعية.

ما الذي تكشفه النتائج الواقعية الأولى

أهم ما في هذه التجربة أن MDASH لم يبقَ في نطاق المختبرات فقط؛ بل ساهم في اكتشاف ثغرات تم إصلاحها فعلياً في تحديث ويندوز حقيقي.

وهذا أمر مهم لأن العديد من أدوات الأمن تبدو فعالة في الاختبارات البحثية لكنها لا تقدم نتائج عملية عند تطبيقها على برامج معقدة.

في حالة MDASH، ساعد النظام في اكتشاف ثغرات داخل طبقات الشبكات والمصادقة الأساسية في ويندوز، وهي من أكثر أجزاء النظام حساسية من ناحية الأمن.

استراتيجية مايكروسوفت: "الدفاع بسرعة الذكاء الاصطناعي"

تصف مايكروسوفت هذه الخطوة بأنها جزء من استراتيجية أوسع أطلقت عليها "الدفاع بسرعة الذكاء الاصطناعي".

الفكرة بسيطة: إذا كان المهاجمون قادرين على استخدام الذكاء الاصطناعي لاكتشاف الثغرات بسرعة أكبر، فيجب على المدافعين استخدام الأدوات نفسها للعثور عليها وإصلاحها أولاً.

وتخطط الشركة لإتاحة MDASH لعملاء المؤسسات في نسخة معاينة خاصة (Private Preview) حتى تتمكن الشركات من تجربة اكتشاف الثغرات المدعوم بالذكاء الاصطناعي داخل أنظمتها الخاصة.

إذا نجح هذا النهج، فقد يغير طريقة تأمين البرمجيات بشكل جذري من خلال:

• توسيع نطاق البحث عن الثغرات عبر قواعد شيفرة ضخمة
• تقليل الوقت بين اكتشاف الخطأ وإصلاحه
• مساعدة الباحثين الأمنيين عبر توليد فرضيات وتحليلات تلقائية

باختصار، تشير تجربة MDASH إلى مستقبل قد تصبح فيه أنظمة الذكاء الاصطناعي أعضاء دائمين في فرق الأمن السيبراني، تعمل باستمرار على فحص الأنظمة المعقدة بحثاً عن نقاط الضعف قبل أن يصل إليها المهاجمون.