كشفت شركة Anthropic عن اكتشاف 22 ثغرة أمنية جديدة في متصفح فايرفوكس، وذلك ضمن شراكة بحثية مع مؤسسة موزيلا. تم تصنيف أربع عشرة من هذه الثغرات على أنها عالية الخطورة، وسبع على أنها متوسطة، وواحدة فقط منخفضة الخطورة. وقد تم معالجة هذه المشكلات في الإصدار الأخير من فايرفوكس، Firefox 148، الذي صدر في نهاية الشهر الماضي.
وأشار تقرير الشركة إلى أن عدد الثغرات عالية الخطورة التي تم اكتشافها بواسطة نموذجها اللغوي الكبير Claude Opus 4.6 يمثل ما يقرب من خُمس إجمالي الثغرات عالية الخطورة التي تم إصلاحها في فايرفوكس خلال عام 2025. وقد استغرقت عملية الاكتشاف هذه أسبوعين فقط في شهر يناير 2026، مما يبرز كفاءة الذكاء الاصطناعي في هذا المجال.
دور الذكاء الاصطناعي في تعزيز أمن متصفحات الويب
توضح هذه النتائج الأثر الملموس للذكاء الاصطناعي في مجال الأمن السيبراني، خاصة فيما يتعلق بتعزيز أمن متصفحات الويب. استخدمت Anthropic نموذجها Claude Opus 4.6، وهو نموذج لغوي متقدم، في تحليل الكود الخاص بمتصفح فايرفوكس.
يُذكر أن النموذج تمكن من اكتشاف ثغرة من نوع “الاستخدام بعد التحرير” (use-after-free) في مكون JavaScript الخاص بالمتصفح في غضون 20 دقيقة فقط. تم التحقق من صحة هذه الثغرة لاحقًا بواسطة باحث بشري في بيئة افتراضية للتأكد من عدم وجود نتائج سلبية خاطئة.
النتائج التفصيلية للشراكة
أكدت Anthropic أنها قامت بفحص ما يقرب من 6000 ملف مكتوب بلغة C++، وقدمت 112 تقريرًا فريدًا، بما في ذلك الثغرات عالية ومتوسطة الخطورة المذكورة. أوضحت الشركة أن معظم هذه المشكلات قد تم إصلاحها في الإصدار 148 من فايرفوكس، بينما سيتم معالجة الباقي في التحديثات المستقبلية.
من جهة أخرى، سمحت الشركة لنموذج Claude بالوصول إلى قائمة كاملة بالثغرات الأمنية التي تم تقديمها لموزيلا، وطُلب منه محاولة تطوير استغلالات عملية لهذه الثغرات. على الرغم من إجراء هذا الاختبار مئات المرات وإنفاق ما يقرب من 4000 دولار على اعتمادات واجهة برمجة التطبيقات (API)، إلا أن النموذج تمكن من تحويل العيوب الأمنية إلى استغلالات ناجحة في حالتين فقط.
يعكس هذا الأداء جانبين مهمين: تكلفة اكتشاف الثغرات أقل من تكلفة تطوير استغلالات لها، وأن النموذج أفضل في إيجاد المشكلات منه في استغلالها. ومع ذلك، فإن حقيقة أن Claude استطاع تطوير استغلال متصفح بدائي تلقائيًا، ولو في حالات قليلة، يعتبر أمرًا يدعو للقلق.
أضافت Anthropic أن هذه الاستغلالات كانت تعمل فقط ضمن بيئة الاختبار، التي تم تجريدها عمدًا من بعض الميزات الأمنية مثل العزل (sandboxing). وتعتبر آلية التحقق من نجاح الاستغلال، التي يتم دمجها في عملية التطوير، عنصرًا حاسمًا لمنح الأداة تغذية راجعة فورية.
فوائد التعاون بين الذكاء الاصطناعي والمطورين
أشارت موزيلا في إعلان متزامن إلى أن هذا النهج المدعوم بالذكاء الاصطناعي قد اكتشف 90 خطأً إضافيًا، تم إصلاح معظمها. شمل ذلك حالات فشل تأكيد (assertion failures) تداخلت مع المشكلات التي يتم اكتشافها تقليديًا من خلال تقنيات “fuzzing”، بالإضافة إلى فئات مميزة من الأخطاء المنطقية التي فشلت تلك التقنيات في اكتشافها.
قالت موزيلا: “يعكس حجم الاكتشافات قوة الجمع بين الهندسة الدقيقة وأدوات التحليل الجديدة للتحسين المستمر. ونحن نرى في ذلك دليلًا واضحًا على أن التحليل بمساعدة الذكاء الاصطناعي على نطاق واسع يمثل إضافة قوية وجديدة لصندوق أدوات مهندسي الأمن.”
يؤكد هذا التعاون على أهمية دمج تقنيات الذكاء الاصطناعي المتطورة في دورة تطوير البرمجيات لضمان أعلى مستويات أمن التطبيقات. فالقدرة على اكتشاف الثغرات بسرعة ودقة، وكذلك القدرة على المساعدة في إصلاحها، تساهم بشكل كبير في تعزيز ثقة المستخدمين وسلامة البيئة الرقمية.