تسونامي الثغرات: الذكاء الاصطناعي يكتشف الأخطاء أسرع مما نستطيع إصلاحه

من بين هذه الثغرات، صُنفت 22 على أنها 'حرجة' (Critical)، وتجاوزت أكثر من 100 ثغرة تصنيف 'حرجة' أو 'عالية الخطورة' . وكانت أخطرها على الإطلاق هي الثغرة المسجلة بالرمز CVE-2026-10881، وهي ثغرة قراءة وكتابة خارج النطاق (out-of-bounds read and write) في طبقة الرسوميات ANGLE. حصلت هذه الثغرة على درجة خطورة CVSS بلغت 9.6 من 10، وكانت تسمح للمهاجم بتنفيذ 'هروب من صندوق الرمل' (sandbox escape) عبر صفحة HTML مصممة خصيصاً لهذا الغرض . العديد من الثغرات الحرجة كانت من نوع 'الاستخدام بعد التحرير' (use-after-free)، وهي مشكلة متكررة تتعلق بسلامة الذاكرة في المتصفحات .

اكتشف مهندسو جوجل حوالي 371 من هذه العيوب بشكل داخلي، بينما أبلغ عن البقية باحثون مستقلون، ودفعت الشركة مبلغ 209,000 دولار كمكافآت لاكتشاف الثغرات (bug bounties) . وأشار موقع SecurityWeek إلى أن الارتفاع الكبير في عدد عيوب كروم من المحتمل أن يكون مدفوعاً بالاستخدام المتزايد للذكاء الاصطناعي في البحث عن الثغرات، وهو تحول أدى بجوجل إلى تخفيض قيمة مكافآت اكتشاف ثغرات كروم في أبريل 2026 .

وفقاً لجوجل، لم تكن أي من هذه الثغرات مستغلة بشكل نشط وقت الإفصاح عنها . ومع ذلك، فإن الحجم الهائل لهذا التصحيح يثير سؤالاً عملياتياً جاداً: هل تستطيع حتى أفضل فرق الهندسة وأكثرها موارداً مواكبة الوتيرة عندما يغرقها الذكاء الاصطناعي بسيل من تقارير الأخطاء؟

21 ثغرة صفرية في FFmpeg بألف دولار فقط

في نفس الوقت الذي كان فيه تحديث كروم 149 يُطرح، نشرت الشركة الناشئة في مجال الأمن 'depthfirst' نتائج تشغيل إنتاجي لوكيل الذكاء الاصطناعي خاصتها على مكتبة FFmpeg، وهي مكتبة الوسائط المتعددة مفتوحة المصدر التي تشكل العمود الفقري لمعالجة الفيديو في عدد لا يحصى من التطبيقات والأجهزة .

قام الوكيل بفحص ما يقرب من 1.5 مليون سطر من كود لغة C، وأعاد 21 ثغرة صفرية غير معروفة سابقاً - وهي أخطاء لم يتم الكشف عنها علناً من قبل، وفي عدة حالات، كانت كامنة دون أن يلاحظها أحد لمدة تتراوح بين 15 و 20 عاماً . كانت الغالبية العظمى من هذه الثغرات عبارة عن فيضان في الكومة والمكدس (heap and stack overflow) عبر مكونات مختلفة تتراوح من مزيل تعدد الإرسال TS إلى مفك ترميز VP9 .

والأهم من ذلك، أن نظام depthfirst لم يكتفِ بالإبلاغ عن كود مريب. بل أنتج براهين مفهوم (proof-of-concept) ملموسة وقابلة للتكرار لكل خطأ، مما يؤكد صحة النتائج التي توصل إليها . بلغت التكلفة الحسابية الإجمالية لهذه العملية حوالي 1,000 دولار .

وللمقارنة، كان نموذج 'Mythos' من شركة Anthropic قد استخرج سابقاً عيباً عمره 16 عاماً في معيار H.264 من FFmpeg بتكلفة حوالي 10,000 دولار . وصورت depthfirst نتيجتها على أنها تحقيق لنتائج مماثلة بعُشر التكلفة . التداعيات هنا صارخة: إن اكتشاف الثغرات الصفرية المعقدة، الذي كان يوماً ما حكراً على مختبرات الأبحاث ذات التمويل الضخم والدول القومية، يقترب من تكلفة فاتورة حوسبة سحابية يمكن لأي شخص دفعها.

اتجاه أوسع: الاكتشاف يتفوق على المعالجة

قصتا كروم و FFmpeg ليستا حدثين منعزلين. إنهما جزء من نمط أكبر تسارع عبر عامي 2025 و 2026.

حجم الاكتشافات ينفجر

عثر وكيل 'Big Sleep' ضمن مشروع 'Project Zero' من جوجل على أول ثغرة صفرية معروفة تم اكتشافها بالذكاء الاصطناعي في بيئة إنتاج حقيقية - وهي عبارة عن نقص تدفق في مكدس (stack buffer underflow) في SQLite - في نوفمبر 2024 . منذ ذلك الحين، تسارعت الوتيرة. وجد التحليل الساكن بمساعدة الذكاء الاصطناعي من شركة ZeroPath سبعة عيوب في FFmpeg في أواخر عام 2025 . ولاحقاً، اكتشف نموذج Mythos من Anthropic ثغرات في OpenBSD و FreeBSD و لينكس و فايرفوكس ومكتبات التشفير، وكثير منها ظل كامناً في الكود لمدة تتراوح بين 16 و 27 عاماً . بحلول أبريل 2026، نجح نموذج Mythos في كتابة استغلالات (exploit writing) 181 مرة ضد متصفح فايرفوكس، وهو تحسن يصل إلى 90 ضعفاً مقارنة بالجيل السابق من النماذج .

كان تحديث كروم 149 نفسه انعكاساً مباشراً لهذه السرعة الجديدة. وأفاد موقع SecurityWeek أن الإصلاحات الـ 429 التي أُعلن عنها في يونيو 2026 قد تجاوزت بالفعل العدد الإجمالي لتصحيحات الأمان التي أصدرها كروم في عام 2025 بأكمله .

المعالجة هي عنق الزجاجة

العثور على الأخطاء سريع. إصلاحها لا يزال عملية بشرية. يثبت كروم 149 أنه حتى جوجل، بمواردها الهندسية الهائلة وبرنامجها المتطور لإدارة الثغرات، يمكن أن تواجه تراكماً هائلاً . بالنسبة لمشرفي المشاريع مفتوحة المصدر الأصغر، فالوضع أكثر خطورة. يجب على فريق FFmpeg الأساسي الصغير الآن فرز (triage) والتحقق من صحة وتطوير تصحيحات للثغرات التي يتم تسليمها بكميات كبيرة بواسطة أدوات ذكاء اصطناعي متعددة - ليس فقط depthfirst، ولكن أيضاً Big Sleep من جوجل، و Mythos من Anthropic، وآخرين . لقد سبق لمشروع FFmpeg أن رد بقوة على ما اعتبره تقارير أخطاء منخفضة الجودة مولدة بالذكاء الاصطناعي، واصفاً بعض تقارير جوجل للذكاء الاصطناعي بأنها "CVE slop" عندما تضمنت النتائج كوداً غامضاً لألعاب فيديو عمرها 30 عاماً .

الاقتصاديات في صالح المهاجمين

يمكن للمدافع الذي يمتلك موارد جيدة الآن تشغيل نماذج ذكاء اصطناعي متعددة على قاعدة الكود الخاصة به قبل طرحها، والكثيرون يفعلون ذلك. لكن هذه الاقتصاديات نفسها تنطبق على أي شخص. قدرت دراسة من جامعة إلينوي في أوربانا-شامبين (UIUC) متوسط تكلفة الاستغلال بمساعدة الذكاء الاصطناعي بـ 8.80 دولار لكل ثغرة باستخدام GPT-4، مقابل 25 دولاراً تقديرياً لكل ثغرة للباحث البشري الماهر . أدت عملية depthfirst على FFmpeg بتكلفة 1,000 دولار إلى خفض تكلفة الثغرة الصفرية الواحدة إلى حوالي 48 دولاراً - ومن المرجح أن تؤدي التحسينات اللاحقة في الأجهزة والنماذج إلى دفعها إلى مستويات أقل .

لا يزال المدافعون يواجهون عمليات تصحيح ونشر يدوية تستغرق وقتاً طويلاً. عدم التكافؤ هذا آخذ في الازدياد.

ما يجب على المؤسسات فعله الآن

إن تحول اكتشاف الثغرات المعتمد على الذكاء الاصطناعي إلى سلعة رخيصة يتطلب استجابة عملية بدلاً من الذعر. يجب على فرق الأمن أن تفترض أن الجهات المهددة - سواء كانت دولاً أو جهات غير حكومية - تقوم بالفعل بتشغيل هذه النماذج ضد البرامج التي تعتمد عليها مؤسساتهم.

تشمل الخطوات العملية تشغيل وكلاء أمن الذكاء الاصطناعي على قاعدة الكود الخاصة بك أولاً، حيث أن أفضل دفاع هو العثور على الثغرات الخطيرة وإصلاحها قبل أن يفعلها المهاجمون. تقليص زمن الاستجابة للتصحيح لا يقل أهمية - الفجوة بين الإفصاح العلني ونشر التصحيح أصبحت أخطر نافذة زمنية في عصر الذكاء الاصطناعي - لذا أعط الأولوية لفحص سلسلة توريد البرامج لديك وتطبيق التحديثات في يوم إصدارها. التعامل مع الإفصاح عن الثغرات كمشكلة حمل زائد أمر أساسي أيضاً: معظم الفرق تفتقر إلى القدرة على فرز تدفق مفاجئ من تقارير الذكاء الاصطناعي، مما يعني أن بناء أو اعتماد خطوط أنابيب تحقق آلية يمكنها تصفية الإشارات من الضوضاء سيصبح قريباً شرطاً أساسياً للحفاظ على برامج آمنة.

تحول دائم

إن التصحيح الضخم لمتصفح كروم 149 وحملة depthfirst على FFmpeg بتكلفة 1,000 دولار ليسا مجرد حالات شاذة. إنهما علامات إرشادية على الطريق. نماذج الذكاء الاصطناعي الآن تجد أخطاءً صمدت أمام عقود من المراجعة البشرية وملايين اختبارات التشويش الآلية (fuzz tests) - بتكلفة زهيدة وعلى نطاق واسع. وكما ذكرت مذكرة بحثية من تحالف أمان السحابة (Cloud Security Alliance)، فإنه حتى نماذج الذكاء الاصطناعي دون المستوى المتطور يمكنها الآن العثور على ثغرات صفرية .

لم يعد عنق الزجاجة يكمن في الاكتشاف. بل في كل ما يأتي بعده. حتى يلحق جانب المعالجة في المعادلة بالركب - من خلال أتمتة أفضل، أو خطوط أنابيب نشر أسرع، أو مقاربات معمارية جديدة لسلامة البرمجيات - فإن كل تحديث يحطم الأرقام القياسية وكل حملة اكتشاف رخيصة الثمن هي بمثابة تحذير لا تستطيع هذه الصناعة أن تتجاهله.