الذكاء الاصطناعي يتفوق على المتسللين البشريين: كلود يخترق دفاعات فايرفوكس بـ 22 CVE في 14 يومًا

ملخص الأخبار

في عرض توضيحي تاريخي لأبحاث الأمن المدعومة بالذكاء الاصطناعي، حدد Claude Opus 4.6 من Anthropic 22 ثغرة أمنية غير معروفة سابقًا في متصفح Firefox من Mozilla خلال مشاركة تعاونية استمرت أسبوعين في فبراير 2026 (التوقيت الشرقي). تم تصنيف 14 من هذه النتائج على أنها ذات خطورة عالية - وتمثل ما يقرب من خُمس جميع ثغرات Firefox ذات الخطورة العالية التي تم إصلاحها طوال عام 2025. تم الكشف عن النتائج علنًا يوم الخميس 6 مارس 2026 (التوقيت الشرقي).

الخلفية: اختبار متعمد وصارم

اختار فريق Frontier Red Team من Anthropic متصفح Firefox كساحة اختبار لسبب محدد: فهو يُعتبر على نطاق واسع أحد قواعد الكود مفتوحة المصدر الأكثر تدقيقًا وأمانًا في العالم، ويعتمد عليه مئات الملايين من المستخدمين يوميًا. أراد الفريق تحديًا يدفع Claude إلى ما وراء المعايير الاصطناعية وإلى برامج حقيقية ذات جودة إنتاجية.

بدأت التجربة بسؤال Claude عن إعادة إنتاج ثغرات CVE (الثغرات الأمنية الشائعة والتعرضات) المعروفة سابقًا في الإصدارات القديمة من قاعدة كود Firefox. كان معدل نجاح النموذج مرتفعًا بشكل ملحوظ - على الرغم من أن الباحثين أقروا بأن بعض ثغرات CVE التاريخية قد تكون ظهرت في بيانات تدريب Claude. للقضاء على هذا الشك، وجه الفريق Claude للبحث عن أخطاء جديدة تمامًا لم يتم الإبلاغ عنها من قبل في الإصدار الحالي من Firefox.

المطاردة: من محرك JavaScript إلى المتصفح بأكمله

تم نشر Claude Opus 4.6 بدءًا من محرك JavaScript الخاص بـ Firefox - وهو نقطة دخول منطقية نظرًا لسطح الهجوم الضخم الخاص به. يقوم المحرك بمعالجة الكود الخارجي غير الموثوق به بشكل روتيني أثناء تصفح المستخدمين للويب، مما يجعله أحد الأهداف ذات القيمة الأعلى للمهاجمين.

في غضون عشرين دقيقة فقط من استكشاف الكود المستقل، حدد Claude ثغرة استخدام بعد التحرير (Use-After-Free) جديدة، وهي فئة من عيوب تلف الذاكرة التي يمكن أن تسمح للمهاجمين بالكتابة فوق البيانات بحمولات خبيثة. بناءً على هذا النجاح الأولي، قام Claude بمسح ما يقرب من 6000 ملف مصدر C++، وإنشاء 112 تقرير خطأ فريدًا تم تقديمه مباشرة إلى متتبع المشكلات Bugzilla الخاص بـ Mozilla.

بعد فرز هذه التقارير، أكد مهندسو أمن Mozilla 22 ثغرة CVE - 14 منها مصنفة على أنها ذات خطورة عالية. أنتجت هذه الدورة التدريبية الوحيدة التي استمرت أسبوعين تقارير ثغرات أكثر من أي شهر تقويمي واحد في عام 2025 من جميع المصادر البشرية والآلية المجمعة.

استجابة Mozilla: تصحيح سريع على نطاق واسع

وصفت Mozilla التعاون بأنه يختلف بشكل ملحوظ عن تقديمات الأمان النموذجية المدعومة بالذكاء الاصطناعي، والتي عانت تاريخيًا من معدلات إنذار كاذب عالية وضوضاء مفرطة. جاءت تقارير Anthropic مع حالات اختبار بسيطة وقابلة للتكرار سمحت لمهندسي Mozilla بالتحقق من كل مشكلة في غضون ساعات.

فعلت Mozilla ما وصفته بوضع "الاستجابة للحوادث" لإدارة تدفق أكثر من 100 تقديم خطأ. تم حشد فرق هندسية متعددة للتحقق من النتائج وكتابة التصحيحات وتنسيق الإصدارات. تم شحن غالبية الإصلاحات في Firefox 148.0، الذي تم إصداره في 24 فبراير 2026 (التوقيت الشرقي)، مع جدولة التصحيحات المتبقية للإصدار التالي للمتصفح.

بالإضافة إلى ثغرات CVE الـ 22، كشفت أبحاث Anthropic عن 90 خطأ إضافيًا غير متعلق بالأمان - تم حل معظمها أيضًا. والجدير بالذكر أن العديد من نتائج Claude مثلت فئات أخطاء منطقية مميزة لم تظهرها تقنيات التشويش التقليدية سابقًا.

الاستغلال: حيث لا يزال الذكاء الاصطناعي متأخرًا

على الرغم من معدل الاكتشاف المثير للإعجاب، كشفت الأبحاث عن عدم تناسق حرج: Claude أفضل بكثير في العثور على الثغرات منه في استغلالها. أنفقت Anthropic ما يقرب من 4000 دولار في أرصدة واجهة برمجة التطبيقات (API) عبر مئات المحاولات لبناء نماذج أولية للاستغلال الوظيفي. نجحت اثنتان فقط من عمليات الاستغلال - وكلاهما تطلب بيئة اختبار مع تعطيل صندوق الحماية الخاص بالمتصفح، مما يعني أن بنية الأمان متعددة الطبقات في Firefox كانت ستمنع هذه الهجمات في الظروف الواقعية.

لاحظ رئيس أمن Mozilla، توم جرينستيد، أن استغلال أي ثغرة فردية، حتى لو كانت ذات خطورة عالية، غير كافٍ لتعريض Firefox للخطر عمليًا. تعتمد المتصفحات الحديثة على الدفاع المتعمق: سيحتاج المهاجم إلى ربط نقاط ضعف متعددة بنجاح لشن استغلال هادف.

في الوقت الحالي، يصب هذا التباين في مصلحة المدافعين - يمكن للذكاء الاصطناعي العثور على الأخطاء بشكل أسرع وأرخص من تسليحها.

الآثار الأوسع: عصر جديد للأمن الدفاعي

لم يكن التعاون مع Firefox تجربة معزولة. كشفت Anthropic أن Claude Opus 4.6 قد تم استخدامه لتحديد الثغرات في مشاريع أخرى حرجة مفتوحة المصدر، بما في ذلك نواة Linux، مع اكتشاف أكثر من 500 ثغرة أمنية صفرية اليوم (zero-day) عبر المشاريع في الأشهر الأخيرة. أطلقت Anthropic أيضًا Claude Code Security، وهي حاليًا في معاينة بحثية محدودة، والتي تجلب قدرات اكتشاف الثغرات وإصلاحها بمساعدة الذكاء الاصطناعي مباشرة إلى فرق الأمن ومشرفي المشاريع مفتوحة المصدر.

بالنسبة لمجتمع الأمن السيبراني، فإن الخلاصة واضحة: يظهر الذكاء الاصطناعي كقوة مضاعفة حقيقية للأمن الدفاعي. في حين أن الخبرة البشرية تظل ضرورية للتحقق وتحديد الأولويات والإصلاح، يمكن لأنظمة الذكاء الاصطناعي الآن مسح ملايين الأسطر من الكود المعقد بسرعات ونطاقات مستحيلة على الفرق البشرية وحدها.

ما يجب على المستخدمين فعله الآن

بالنسبة لمستخدمي Firefox العاديين، فإن الإجراء الفوري بسيط: قم بالتحديث إلى Firefox 148 أو أحدث. تم إصلاح جميع الثغرات ذات الخطورة العالية التي تم تحديدها خلال هذه المشاركة. يجب على المستخدمين الذين لم يقوموا بالتحديث بعد القيام بذلك على الفور، حيث أن الإصدارات المتأثرة لا تزال معرضة للعيوب المبلغ عنها.