الذكاء الاصطناعي يكشف ثغرات أمنية.. والمسؤولون يحولون الميزانيات إلى اختبارات الاختراق

في ظل التطورات المتسارعة للذكاء الاصطناعي، شهدت طريقة اكتشاف الثغرات الأمنية واستغلالها تحولاً جذرياً، مقلصةً الفترة الزمنية الفاصلة بين اكتشاف الثغرة وصعوبة استغلالها من أشهر إلى ساعات. هذا التحول يفرض تحديات غير مسبوقة على فرق الأمن السيبراني في دولة الإمارات وكافة أنحاء العالم.

وكانت إدارة الثغرات الأمنية تعتمد سابقاً على هامش زمني كافٍ لتطبيق الإصلاحات اللازمة. أما اليوم، فقد اختفى هذا الهامش تماماً، مما يتطلب استراتيجيات جديدة للتصدي للمخاطر المتزايدة.

الذكاء الاصطناعي يغير قواعد اكتشاف الثغرات الأمنية

أظهرت التقارير الحديثة أن تقنيات الذكاء الاصطناعي، مثل نموذج Claude Mythos Preview، تمكنت من اكتشاف أكثر من 10,000 ثغرة أمنية عالية الخطورة أو بالغة الأهمية في البرمجيات الحيوية خلال شهر واحد فقط. وتعد هذه الأرقام قفزة هائلة مقارنة بالماضي.

فمثلاً، في اختبار أُجري على متصفح Firefox، نجح النموذج في توليد 181 استغلالاً فعالاً للثغرات، مقابل اثنين فقط باستخدام النماذج السابقة. اكتشف النموذج ثغرات في مختلف أنظمة التشغيل والمتصفحات الرئيسية، بما في ذلك ثغرة في OpenBSD ظلت مكتشفة لمدة 27 عاماً. والأكثر إثارة للقلق هو أن أكثر من 99% من هذه الثغرات لم يتم إصلاحها بعد.

على الجانب الآخر، كشف تقرير استخباراتي من AWS في فبراير 2026 عن حملة استهدفت أجهزة متعددة عبر 55 دولة، مستخدمة بيانات اعتماد ضعيفة تم تضخيمها عبر خادم MCP مخصص يعمل بأدوات هجومية بشكل مستقل. أكدت AWS وجود أكثر من 600 جهاز متأثر، بينما أشارت تقديرات مستقلة إلى أن الأرقام قد تصل إلى 2,516 جهازاً في 106 دول.

نافذة استغلال الثغرات تتقلص بسرعة

تقليدياً، كان لدى فرق الدفاعات السيبرانية مهلة تمتد لأشهر بين الإعلان عن اكتشاف ثغرة جديدة (CVE) وبين رصد أول استغلال لها في العالم الواقعي، وهي الفترة المعروفة بـ “الوقت حتى الاستغلال” (Time-to-Exploit – TTE).

لكن هذه النافذة الزمنية قد انغلقت تماماً. تشير بيانات “Zero Day Clock” إلى أن متوسط الوقت حتى الاستغلال في عام 2026 بلغ حوالي 24 ساعة، بانخفاض كبير عن متوسط 53 يوماً في عام 2024.

وتدعم بيانات الخروقات الأمنية هذا الاتجاه. يربط تقرير Verizon’s 2026 DBIR ما نسبته 32% من تقنيات الوصول الأولي باستغلال الثغرات، ويتوقع ارتفاع هذا الرقم. ويعود ذلك إلى أن مساعدي الترميز المدعومين بالذكاء الاصطناعي يسهلون الآن على المهاجمين بناء أدوات الاستغلال، وتكييف الأدوات لاستهداف لغات برمجية جديدة، واكتشاف ثغرات غير معروفة، وهي مهام لم تكن في متناول الكثيرين من قبل.

نداء لتسريع الإصلاحات قد لا يكون كافياً

الاستجابة السريعة للصناعة الأمنية تتمثل في تسريع وتيرة إصلاح الثغرات. بدأت العديد من اللوائح التنظيمية تشترط إصلاحات فورية لبعض الثغرات الحرجة، وهو ما تتوقعه مجالس الإدارات وتطالب به الإدارات التنفيذية.

ومع ذلك، فإن عملية إصلاح الثغرات ليست بسيطة. فهي تتطلب اجتياز اختبارات التراجع، والانتظار لدورات التغيير المعتمدة، والحصول على الموافقات، مع مراعاة الالتزامات الحالية المتعلقة بوقت التشغيل والامتثال. إن إيقاف الأنظمة الإنتاجية لتجاوز استغلال ثغرة قد يؤدي إلى تعطيل آخر.

وتشير البيانات إلى أن الأمور تتجه للأسوأ. فقد تتبعت Verizon’s 2026 DBIR أكثر من 13,000 منظمة، وأظهرت أن متوسط وقت إصلاح الثغرات التي تم استغلالها معروفة بلغ 43 يوماً، بزيادة عن 32 يوماً في العام السابق. كما انخفضت نسبة المنظمات التي قامت بإصلاح جميع الثغرات من 38% إلى 26%.

عندما تعمل الهجمات بسرعة فائقة تصل إلى ساعات، بينما تمتد عمليات الإصلاح لأسابيع، فإن احتمالية حدوث اختراق أمني تكون شبه مؤكدة خلال هذه الفترة. وتشير البيانات إلى أن حتى أفضل المنظمات أداءً لا تتمكن من إصلاح سوى 30-40% فقط من الثغرات المستغلة المعروفة في الأسبوع الأول بعد اكتشافها، وهي نسبة لم تتغير كثيراً رغم الاستثمارات المستمرة.

لذلك، فإن مجرد المطالبة بتسريع الإصلاحات لا يغير من الواقع الفيزيائي للعمليات، ويشبه الطلب من سفينة شحن أن تتوقف بشكل مفاجئ.

تغير نقطة الاختناق يستدعي استراتيجية جديدة

لعقدين من الزمن، اعتمدت إدارة الثغرات على مجموعة افتراضات واضحة: اكتشاف العيوب، وتقييمها حسب الأهمية، وإصلاح الأكثر خطورة أولاً. وعندما كانت تظهر بضع عشرات من الثغرات الحرجة كل ربع سنة، كانت هذه الآلية فعالة. لكنها لم تعد مجدية في مواجهة مئات أو آلاف الثغرات التي يتم الكشف عنها يومياً.

يشير تقرير Verizon’s DBIR إلى أن المنظمة المتوسطة اضطرت إلى إصلاح 16 ثغرة مستغلة معروفة في عام 2025، بزيادة عن 11 ثغرة في العام السابق، مما يمثل قفزة تقارب 50%. وكان ذلك قبل أن تبدأ الثغرات التي اكتشفتها أنظمة الذكاء الاصطناعي في التدفق بكثافة.

بعيداً عن ذلك، فإن درجات الخطورة لا تخبرنا ما إذا كانت الثغرة قابلة للاستغلال في بيئتنا، أو ما إذا كانت ضوابطنا الحالية ستمنعها، أو ما إذا كانت جزءاً من سلسلة هجوم أوسع. وبالتالي، فإن قائمة تحتوي على ثغرات جميعها “9” أو “10” لا تقدم أي أولوية فعالة.

لذلك، فإن السؤال المهم يتحول من “ما الذي به ثغرات؟” إلى “ما الذي يمكن استغلاله فعلياً ضدنا الآن، وهل ستتمكن دفاعاتنا من اكتشافه إذا حاول أحدهم؟”. هذا هو السؤال الذي تم تصميم محاكاة الهجوم والاختراق (Breach and Attack Simulation – BAS) للإجابة عليه.

لماذا تصبح محاكاة الهجوم والاختراق حجر الزاوية ضد الهجمات المدعومة بالذكاء الاصطناعي

تستخدم تقنية BAS أساليب المهاجمين الفعلية، وتقوم بتشغيلها بأمان ضد أنظمة الحماية والكشف الحية لديك. إنها ليست مجرد مسح أو رسم نظري، بل هي تمرين فعلي يوضح ما ستمنعه أدواتك، وما ستكتشفه، وما الذي سيفلت منها.

في عالم يغرق في الإفصاح عن الثغرات، تحقق BAS ثلاثة أمور لا تستطيع إدارة الثغرات وحده تحقيقها:

• تفصل بين النظري والفعلي: الثغرة التي يتم تحييدها بالفعل من قبل جدار الحماية (WAF)، ونظام منع التسلل (IPS)، ونظام الكشف والاستجابة (EDR)، تختلف كلياً عن تلك التي تمر بسهولة. توضح BAS أي ثغرة تنتمي إلى أي فئة، مما يمنع فرق العمل من التعامل مع كل CVE كنار ذات خمس شعلات.
• تتحقق من فعالية الضوابط المدفوعة: معظم المؤسسات لديها ما بين عشرة إلى سبعين أداة أمنية بسياسات متداخلة؛ تقيس BAS ما إذا كانت تعمل كما هو مقرر وتكشف عن المخاطر المتبقية الكامنة في الفجوات.
• تمنح وقتاً للإصلاح الآمن: عندما يمكن إثبات أن أصلاً حرجاً محمي بالفعل بضوابط قوية، يمكن أن تمر عملية الإصلاح عبر نظام إدارة التغيير العادي بدلاً من الإطلاق الطارئ. وعندما لا يكون الأصل محمياً، تعرف أن عليك اتخاذ تدابير تخفيف أولاً.

بدأت تظهر فوائد هذه التقنية في الميزانيات، حيث تشير تقارير ميدانية بشكل متزايد إلى أن مسؤولي أمن المعلومات يقومون بتخصيص ميزانيات محددة لـ BAS، والتي لم تكن بنداً منفصلاً في الميزانية قبل عام.

يمثل هذا التحول ما تشير إليه Gartner الآن باسم “التحقق من التعرض العدائي” (Adversarial Exposure Validation)، حيث يتم دمج فعالية الأمان (“هل تعمل ضوابطي؟”) مع سياق الأعمال (“أي الأصول هي الأكثر أهمية، وما الذي يمكن الوصول إليه حقاً؟”) لتحديد الأولويات بناءً على واقع مؤسستك بدلاً من الدرجات النظرية الخام.

بالاقتران مع اختبارات الاختراق المستقلة، التي تثبت ما إذا كان المهاجم يمكنه ربط الثغرات من نقطة الدخول الأولية إلى أصول مؤسستك الأكثر قيمة، تكمل BAS الصورة. فهي تطرح سؤالين حاسمين: “هل يمكنهم اختراقنا؟” و”هل سنكتشف ذلك؟”.

عند تشغيل BAS واختبارات الاختراق المستقلة معاً، يتم استبدال التخمين بالدليل.

سرعة BAS يجب أن تضاهي سرعة الهجمات

هناك عقبة. إذا كان المهاجمون يعملون بشكل مستقل، فإن دورة التحقق التي تستغرق أسبوعاً كاملاً لإنسان تصبح قديمة عند اكتمالها. الهجمات التي تتم بسرعة الآلة تتطلب دفاعات تعمل بنفس السرعة، والشيء الوحيد السريع بما يكفي لمواجهة الهجوم المستقل هو الدفاع المستقل.

الاعتراض المنطقي الوحيد لتوجيه الذكاء الاصطناعي الخام إلى هذه المهمة هو السلامة. كما حذر رئيس قسم الأبحاث في Picus، فولكان إرتورك، فإن النموذج الذي يُطلب منه اختراع استغلال قد يقدم عينة برمجية خبيثة حية، أو يبتكر تقنيات لا تستخدمها أي مجموعة. بالتالي، فإنك لا تريد برامج غير مفحوصة تعمل في بيئة الإنتاج، أو دفاعات مبنية على هجمات غير موجودة.

يقدم Picus حلاً يضع النموذج المسؤول عن التنسيق، وليس الإنشاء. فبدلاً من مطالبتها بكتابة حمولات هجومية، يقوم نظام BAS المستقل لـ Picus بمطابقة تقرير تهديد جديد مع مكتبة من لبنات البناء الاختبارية الآمنة والمعدة مسبقاً. عندما يحدد فريق أمني تهديداً، يبدأ نظام متعدد الوكلاء في العمل: يقوم وكيل بتحديد التهديد وبناء خطة بحث، ويقوم وكلاء آخرون بجمع المعلومات الاستخباراتية من مصادر متعددة والتحقق منها، ويقوم وكيل بناء بتعيين تكتيكات وتقنيات وإجراءات المهاجمين (TTPs) إلى سلاسل هجوم جاهزة للمحاكاة.

النتيجة هي محاكاة دقيقة وجاهزة للتنفيذ، يتم تجميعها في دقائق. هذا يقلل من وقت الاستجابة. يصبح تنبيه CISA أو عنوان رئيسي إخباري مجرد اختبار محدد، ودرجة وضع، وتدابير أولوية، وتقرير تنفيذي، غالباً في دقائق، مع مراجعة البشر للحالات الاستثنائية بدلاً من قيادة كل خطوة وإبطائها.

منصة Picus مصممة لهذه التحديات

لا يزال التصحيح أمراً ضرورياً، ولكن في حين أن الذكاء الاصطناعي يكتشف الثغرات بالآلاف ويستغلها في ساعات، فإن التصحيح وحده لا يمكن أن يكون استراتيجيتك الكاملة. إذا كان الهجوم مستقلاً، فيجب أن تعمل الدفاعات بنفس السرعة على الأقل، وهذا بالضبط ما تم تصميم Picus للقيام به.

ما يتوسع مع التهديد هو التحقق: تأكيد ما ستوقفه ضوابطك فعلياً، وإثبات ما يمكن استغلاله، وإنفاق وقت وموارد الإصلاح فقط حيث سيؤدي ذلك إلى تغيير النتائج. يعد BAS المدعوم بالذكاء الاصطناعي والمستقل أحد الركائز الأساسية لمنصة Picus، حيث يقوم باختبار دفاعاتك باستمرار لمعرفة ما إذا كانت تمنع وتكتشف ما يهم دون الحاجة إلى انتظار تدخل بشري لبدء العملية أو الانتقال إلى الدورة التالية. وعندما يتم اكتشاف فجوة، تشير المنصة إلى الإجراء التخفيفي المطلوب من البائع المحدد، ولا تقوم فقط بإنشاء تذكرة أخرى في القائمة، ثم تعيد التحقق للتأكد من إغلاق الفجوة.

إن الحاجة إلى تحديد ما إذا كان عنوان رئيسي حديث يشكل خطراً على الأعمال، في الوقت الفعلي، لن تختفي قريباً. توفر منصة Picus لفرق الأمن هذه الإجابة قبل أن يطلبها أحد.