نموذج Claude Mythos يكشف 10 آلاف ثغرة برمجية فائقة الخطورة

مقدمة تحليلية

في قفزة نوعية غير مسبوقة تبرز الإمكانات الهائلة والتهديدات الكامنة للذكاء الاصطناعي في قطاع الأمن السيبراني، كشفت شركة Anthropic النقاب عن نتائج أولية مذهلة لمبادرتها الأمنية الطموحة المعروفة باسم Project Glasswing. المبادرة التي انطلقت الشهر الماضي بهدف حماية البنية التحتية البرمجية الأكثر حيوية في العالم، نجحت عبر الاستعانة بنموذجها المتطور Claude Mythos Preview في الكشف عن أكثر من 10,000 ثغرة أمنية تتراوح خطورتها بين العالية والحرجة، مما أحدث هزة ارتدادية واسعة النطاق في أوساط مطوري البرمجيات والشركات التقنية العالمية التي تعتمد على هذه الأنظمة في تسيير أعمالها اليومية. تأتي هذه النتائج لتؤكد أن عصر الفحص اليدوي أو الاعتماد الكلي على أدوات التحليل الساكن والتقليدي للأكواد قد انتهى عملياً. لم يعد البحث عن الثغرات يتطلب شهوراً من هندسة عكسية مضنية يقوم بها خبراء بشريون، بل أصبح نموذجاً لغوياً كبيراً قادراً على مسح ملايين السطور البرمجية في دقائق معدودة وعزل المهددات بدقة فائقة. ومع ذلك، فإن هذه القدرة الاستثنائية تضع قطاع تقنية المعلومات أمام معضلة جديدة بالكامل؛ حيث تفوق سرعة اكتشاف الثغرات كفاءة وقدرة المطورين على إصدار الترقيعات الأمنية واختبارها، مما يخلق فجوة زمنية خطرة قد يستغلها المهاجمون إذا ما وقعت هذه النماذج المتطورة في الأيدي الخطأ.

التحليل التقني

يعتمد مشروع Project Glasswing على منح وصول مبكر وحصري لمجموعة محدودة لا تتعدى 50 شريكاً من المؤسسات والجهات السيبرانية السيادية لنموذج Claude Mythos Preview. هذا النموذج تم تدريبه وتحسينه خصيصاً ليمتلك عقلية أمنية هجومية ودفاعية تمكنه من محاكاة تفكير الباحثين الأمنيين المحترفين عند مراجعة الشيفرات المصدرية. وتُظهر البيانات الرسمية الصادرة عن Anthropic دقة التحليل من خلال الأرقام التفصيلية التالية:

• تم رصد وتصنيف 6,202 ثغرة كمرشحات عالية أو فائقة الخطورة تؤثر على ما يزيد عن 1,000 مشروع من البرمجيات مفتوحة المصدر (Open Source) التي تشكل عصب الإنترنت الحديث.
• بعد إخضاع هذه الترشيحات لتحليلات برمجية معمقة من قبل خبراء بشريين، تبين أن هناك 1,726 ثغرة تمثل حالات إيجابية حقيقية (True Positives) خالية من الأخطاء التشخيصية الشائعة في أدوات الفحص الآلي القديمة.
• تم تصنيف 1,094 ثغرة من هذه الحالات المؤكدة على أنها ثغرات عالية أو فائقة الخطورة تستوجب تدخلاً إسعافياً فورياً من فرق التطوير المعنية.
• تمكن النموذج من رصد ثغرة حرجة جداً في مكتبة التشفير الشهيرة WolfSSL، والتي سجلت تحت المعرف CVE-2026-5194 مع حصولها على درجة خطورة تبلغ 9.1 على مقياس CVSS الشهير. تكمن خطورة هذه الثغرة في سماحها للمهاجمين بتزوير الشهادات الرقمية وانتحال صفة الخدمات الموثوقة بالكامل، مما يهدد أمن الاتصالات المشفرة.
• نجحت الجهود المشتركة حتى الآن في ترقيع 97 ثغرة في المنبع البرمجي (Upstream) وإصدار أكثر من 88 نشرة تحذيرية أمنية للمجتمع التقني.

تتجاوز قدرات Claude Mythos Preview مجرد القراءة الساكنة للأكواد؛ إذ أشارت منصة الأمن الهجومي المستقلة XBOW إلى أن هذا النموذج يبدي براعة منقطعة النظير في فهم السياق الأمني وبناء 'سلاسل هجوم متكاملة' (Attack Chains)، أي أنه لا يكتفي بالإشارة إلى مكان الثغرة بل يوضح عملياً كيف يمكن ربط عدة ثغرات صغيرة معاً للوصول إلى اختراق كلي للنظام المستهدف. وتأكيداً على تنوع قدرات النموذج، تمكن أحد البنوك الكبرى المشاركة في المشروع من استخدام Claude Mythos لإحباط عملية احتيال مالي ضخمة بقيمة 1.5 مليون دولار بعد اختراق البريد الإلكتروني لأحد العملاء وإجراء مكالمات هاتفية مزيفة للتمويه.

السياق وتأثير السوق

يتزامن هذا الكشف مع ضغوط تشغيلية هائلة تواجهها شركات البرمجيات الكبرى لإعادة هيكلة خططها الأمنية. تقرير شركة Palo Alto Networks الصادر حديثاً يشير إلى أن المدافعين يدخلون مرحلة حرجة تتطلب التكيف السريع مع نماذج الذكاء الاصطناعي التي بدأت تعيد تشكيل مفاهيم الدفاع والهجوم. وفي هذا السياق، أكدت شركة Microsoft أن حجم الترقيعات والتحديثات الأمنية الشهرية التي تطرحها للجمهور يسير في اتجاه تصاعدي مستمر وسيستمر كذلك لفترة طويلة نتيجة زيادة استخدام تقنيات الذكاء الاصطناعي في الكشف عن العيوب البرمجية. من جهة أخرى، اضطرت مؤسسات مثل Oracle إلى تغيير إستراتيجيتها بالكامل والتحول إلى نظام دورة ترقيع شهرية مكثفة بدلاً من الدورات الربع سنوية السابقة لمواجهة هذا التدفق المتسارع للثغرات الحساسة. كما تشهد الصناعة سباق تسلح خفي بين عمالقة الذكاء الاصطناعي؛ حيث أطلقت Anthropic برنامج 'Cyber Verification Program' الذي يتيح للباحثين استخدام نماذجها الأمنية دون القيود والحواجز الافتراضية الصارمة (Guardrails) لغايات البحث المشروع والاختراق الأخلاقي (Red Teaming)، وهي خطوة تحاكي مشروع 'Daybreak' الذي أطلقته OpenAI مؤخراً لتمكين المدافعين من استخدام نموذجها المتخصص GPT-5.5-Cyber.

رؤية Glitch4Techs

تؤمن منصة Glitch4Techs أن ما نشهده اليوم عبر مبادرة Project Glasswing هو سلاح ذو حدين يحمل في طياته بذور تغيير جذري لقطاع الأمن السيبراني بأكمله. من الناحية الإيجابية، فإن تمكين المدافعين من تكنولوجيا استباقية بحجم Claude Mythos Preview يمنحهم تفوقاً دفاعياً غير متكافئ (Asymmetric Advantage) طال انتظاره، مما يسهم في تنظيف البيئة البرمجية العالمية ومشاريع المصادر المفتوحة من العيوب الهيكلية المزمنة قبل أن تكتشفها العصابات السيبرانية المنظمة أو الدول المارقة. ومع ذلك، فإن الخطر الحقيقي يكمن في مسألة دمقرطة هذه النماذج الفائقة وإتاحتها للعامة مستقبلاً. على الرغم من امتناع Anthropic و OpenAI عن طرح نماذج مثل Mythos و GPT-5.5-Cyber بشكل عام لعدم وجود حواجز حماية تمنع إساءة استخدامها على نطاق واسع، إلا أن مسألة تسريب هذه التقنيات أو تطوير نماذج مشابهة مفتوحة المصدر ومعدلة لأغراض خبيثة تظل مسألة وقت لا أكثر. إن قدرة النموذج على بناء سلاسل استغلال كاملة تعني أن المهاجمين التقليديين سيتحولون بفضل الذكاء الاصطناعي إلى قراصنة بمستوى نخبي في غضون ثوانٍ. بناءً على ذلك، نوصي مديري تكنولوجيا المعلومات بضرورة التخلي الفوري عن أساليب إدارة التحديثات التقليدية، واعتماد الأتمتة الكاملة في اختبار ونشر الترقيعات الأمنية، وتطبيق نماذج 'الثقة الصفرية' (Zero Trust) مع فرض التحقق متعدد العوامل (MFA) كإجراء حتمي لمواجهة القادم.