«Anthropic» تكشف عن أكثر من 10 آلاف ثغرة أمنية خطيرة ضمن مشروع «Glasswing»

أعلنت Anthropic أن مشروعها الأمني “Glasswing” نجح، خلال أسابيع قليلة فقط من إطلاقه، في اكتشاف أكثر من 10 آلاف ثغرة أمنية مصنفة “بالغة الخطورة” أو “حرجة” داخل عدد من أهم البرمجيات والأنظمة الرقمية المستخدمة عالميًا، في خطوة تسلط الضوء على التأثير المتزايد للذكاء الاصطناعي في مستقبل الأمن السيبراني.

ويُعد “Glasswing” مبادرة متخصصة تقودها الشركة لاختبار قدرات نماذج الذكاء الاصطناعي المتقدمة في اكتشاف الثغرات الأمنية، حيث حصل نحو 50 شريكًا من شركات الأمن والتقنية على إمكانية الوصول إلى نموذج “Claude Mythos Preview”، المصمم خصيصًا لتحليل الشيفرات البرمجية واكتشاف نقاط الضعف في البرمجيات واسعة الانتشار.

بحسب البيانات التي كشفتها الشركة، تم تصنيف 6,202 ثغرة من إجمالي النتائج على أنها “بالغة الخطورة” أو “حرجة”، وتؤثر على أكثر من ألف مشروع مفتوح المصدر. وأظهرت عمليات التحقق اللاحقة أن 1,726 من هذه الحالات تمثل ثغرات حقيقية بالفعل، بينما جرى تصنيف 1,094 ثغرة ضمن أعلى درجات الخطورة الأمنية.

ومن أبرز الثغرات التي كشف عنها المشروع، ثغرة خطيرة في برنامج WolfSSL تحمل الرمز CVE-2026-5194 ودرجة خطورة CVSS بلغت 9.1 من 10، وهي ثغرة قد تسمح للمهاجمين بتزوير الشهادات الرقمية وانتحال صفة خدمات موثوقة.

وأكدت الشركة أن هذه الجهود أسفرت حتى الآن عن إصلاح 97 ثغرة أمنية، إلى جانب إصدار 88 تنبيهًا وتحذيرًا أمنيًا للمطورين والمؤسسات المتأثرة.

وأقرت Anthropic بأن التطور السريع في قدرات الذكاء الاصطناعي يخلق تحديًا غير مسبوق في قطاع الأمن السيبراني، موضحة أن اكتشاف الثغرات أصبح أسهل وأسرع بكثير مقارنة بعملية إصلاحها. وقالت الشركة:“سهولة اكتشاف الثغرات مقارنة بصعوبة معالجتها تمثل أحد أكبر التحديات الأمنية حاليًا، لكن تجاوز هذا التحدي قد يجعل البرمجيات أكثر أمانًا مما كانت عليه سابقًا”.

ويأتي ذلك في وقت تشهد فيه شركات التكنولوجيا ارتفاعًا قياسيًا في أعداد التحديثات الأمنية الصادرة شهريًا، نتيجة الاعتماد المتزايد على الذكاء الاصطناعي في تحليل البرمجيات واكتشاف نقاط الضعف.

وكانت Microsoft قد أشارت مؤخرًا إلى أن وتيرة إصدار التحديثات الأمنية مرشحة للاستمرار في الارتفاع خلال الفترة المقبلة.

من جهتها، وصفت منصة XBOW الأمنية الهجومية نموذج Mythos Preview بأنه “تقدم كبير” مقارنة بالأجيال السابقة من نماذج الذكاء الاصطناعي، مؤكدة تفوقه الواضح في تحليل الشيفرات البرمجية واكتشاف الثغرات المحتملة.

كما أظهرت اختبارات داخلية قدرة النموذج على تحويل الثغرات الأمنية إلى “سلاسل هجوم” متكاملة، وهو ما يثير مخاوف متزايدة بشأن إمكانية استخدام هذه النماذج مستقبلًا في تطوير هجمات إلكترونية أكثر تعقيدًا وسرعة.

ولم يقتصر استخدام النموذج على اكتشاف الثغرات فقط، إذ كشفت Anthropic أن أحد البنوك المشاركة في مشروع Glasswing استخدم النموذج لاكتشاف ومنع عملية تحويل مالي احتيالية بقيمة 1.5 مليون دولار.

ووفقًا للشركة، تمكن النظام من رصد محاولة احتيال نفذها مهاجم نجح في اختراق البريد الإلكتروني لأحد العملاء وإجراء مكالمات هاتفية انتحالية لإتمام عملية التحويل.

 

وحذرت Anthropic من أن قدرات مشابهة لـ Mythos Preview قد تصبح متاحة على نطاق واسع خلال المستقبل القريب، سواء عبر نماذج مفتوحة المصدر أو منصات منافسة، ما يفرض على المؤسسات تسريع إجراءات الحماية والاستجابة الأمنية.

ودعت الشركة مطوري البرمجيات إلى تقصير دورات إصدار التحديثات الأمنية، وتوفير الإصلاحات بأسرع وقت ممكن، مشيرة إلى أن Oracle اعتمدت مؤخرًا دورة تحديثات شهرية لمعالجة الثغرات الحرجة بصورة أسرع.

كما أوصت المؤسسات بتعزيز إعدادات الشبكات، وفرض المصادقة متعددة العوامل، والاحتفاظ بسجلات أمنية شاملة تساعد في اكتشاف الهجمات والاستجابة لها بسرعة أكبر.

وفي سياق متصل، أعلنت Anthropic إطلاق “برنامج التحقق السيبراني”، الذي يمنح الباحثين ومتخصصي الأمن السيبراني إمكانية استخدام نماذج الشركة دون قيود في الأغراض المشروعة، مثل اختبار الاختراق وأبحاث الثغرات واختبارات “الفريق الأحمر”.

ويشبه البرنامج مبادرة “Daybreak” التابعة لـ OpenAI، والتي توفر بدورها إمكانية الوصول إلى نموذج GPT-5.5-Cyber لاستخدامات الأمن السيبراني المتخصصة.

ورغم ذلك، أكدت الشركة أن نماذج مثل Mythos Preview وGPT-5.5-Cyber لم تُطرح بعد للعامة، بسبب المخاوف المتعلقة بإمكانية إساءة استخدامها في تنفيذ هجمات إلكترونية واسعة النطاق.

واختتمت الشركة بيانها بالتأكيد على أن مشروع Glasswing يهدف إلى منح الجهات الدفاعية “أفضلية غير متكافئة” في مواجهة التهديدات المتطورة، مع الإشارة إلى أن الحاجة أصبحت ملحة أمام المؤسسات لتعزيز دفاعاتها السيبرانية قبل أن تصبح هذه القدرات متاحة للجميع.