شهد قطاع الأمن السيبراني مؤخرًا اكتشافات بارزة لمخاطر أمنية وبرمجيات حديثة، مع بروز الثغرات الأمنية في طليعة التطورات. تأتي هذه التطورات بينما تتسابق الشركات والمطورون لمواكبة التقدم التكنولوجي المتسارع.
كشفت شركة ناشئة في مجال الأمن السيبراني عن 21 ثغرة أمنية غير مكتشفة سابقًا في مكتبة FFmpeg، وهي مكتبة وسائط تستخدم في معظم التطبيقات التي تتعامل مع مقاطع الفيديو. تم اكتشاف هذه الثغرات باستخدام وكيل ذكاء اصطناعي مستقل.
تزامنت هذه الاكتشافات مع إصدار جوجل لمتصفح Chrome 149، الذي تضمن إصلاحات لـ 429 خطأ أمني، وهو رقم قياسي في إصدار واحد. ومع ذلك، فإن الثغرات المكتشفة في FFmpeg هي الوحيدة التي تم تحديدها بواسطة تقنيات الذكاء الاصطناعي.
تطورات ملحوظة في اكتشاف الثغرات الأمنية
قامت شركة depthfirst، باستخدام عامل أمان مستقل، بفحص ما يقرب من 1.5 مليون سطر من شيفرة C في مشروع FFmpeg. أسفر هذا الفحص عن تحديد 21 ثغرة أمنية من الصفر (zero-day)، مع توفير أدلة قابلة للتكرار لكل منها.
تُقدر تكلفة هذه العملية بحوالي 1000 دولار أمريكي. تجدر الإشارة إلى أن بعض هذه الثغرات كانت موجودة في الشيفرة البرمجية منذ 15 إلى 20 عامًا، بما في ذلك تجاوز سعة المكدس (stack overflow) الذي يعود تاريخه إلى عام 2003 وظل دون اكتشاف لمدة 23 عامًا.
تفاصيل الثغرات في FFmpeg
معظم هذه الثغرات تتمثل في تجاوزات في الذاكرة المؤقتة (heap) أو المكدس (stack) ضمن محللات ومزجّات (demuxers). تشمل المكونات المتأثرة مزجّ TS ومفك تشفير VP9. وفقًا لشركة depthfirst، تم تخصيص معرفات CVE لبعض هذه الثغرات، وبعضها الآخر تم إصلاحه ولكنه لم يحصل على معرف بعد.
في سياق منفصل، سد متصفح Chrome 149 429 ثغرة أمنية، وهو رقم مرتفع بشكل ملحوظ. أكثر من 100 من هذه الثغرات مصنفة كخطيرة أو عالية الخطورة، وتشمل في الغالب مشاكل استخدام ما بعد التحرير (use-after-free) وعدم كفاية التحقق من المدخلات.
تأثير التطورات على صناعة التقنية
تُعد الثغرة CVE-2026-10881 (بدرجة 9.6 على مقياس CVSS) من أخطرها، وتسمح للمواقع المصممة خصيصًا بالخروج من بيئة العزل (sandbox) وتنفيذ شيفرة على الجهاز المضيف. دفعت جوجل مبلغ 97,000 دولار أمريكي مقابل اكتشاف هذه الثغرة.
تجدر الإشارة إلى أن معظم الثغرات ذات الخطورة العالية تم اكتشافها داخليًا بواسطة فرق جوجل. هذا يشير إلى دور الذكاء الاصطناعي الذي لا يقتصر على تأليف الثغرات، بل يساهم أيضًا في زيادة حجم التقارير المقدمة.
لم تربط جوجل بشكل مباشر إصدار Chrome 149 بالذكاء الاصطناعي، ولكنها قامت بتعديل برنامج مكافآتها في أبريل استجابة لتدفق كبير من التقارير المولدة بواسطة الذكاء الاصطناعي. المطالبة الجديدة تتضمن تقديم دليل مختصر لإعادة إنتاج الخطأ بدلاً من التقارير التفصيلية.
من ناحية أخرى، اكتشف عامل ذكاء اصطناعي آخر مؤخرًا ثغرة تنفيذ شيفرة عن بعد (RCE) مصادق عليها في Redis، والتي كانت موجودة منذ الإصدار 7.2.0 دون اكتشافها لأكثر من عامين. تشير الدراسات الحديثة إلى أن أدوات الذكاء الاصطناعي يمكنها إعادة إنتاج أدلة تشغيلية لأكثر من نصف الثغرات غير الجديدة المكتشفة في نواة لينكس.
أهمية التحديثات الفورية واستراتيجيات الأمان
بالنسبة لـ FFmpeg، يُنصح بسحب أحدث إصدار ثابت أو التحديث الأمني من توزيعة نظام التشغيل الخاص بك فور توفره. يجب إعطاء الأولوية لأي شيء يقوم بمعالجة مدخلات غير موثوقة مثل RTSP أو AV1-over-RTP. نظرًا لأن FFmpeg مدمجة في العديد من مسارات الوسائط وحاويات التطبيقات، يجب التأكد من تحديث النسخ المضمنة أيضًا.
أما بالنسبة لمتصفح Chrome، فيجب التحديث إلى الإصدار 149.0.7827.53 على أنظمة Linux، أو 149.0.7827.53/54 على أنظمة Windows و macOS. يُنصح أيضًا بالتأكد من تفعيل خاصية التحديث التلقائي.
تتطلب هذه التطورات تبني استراتيجيات أمنية تتناسب مع السرعة الجديدة، بما في ذلك دورات إصدار أقصر، وتمكين التحديث التلقائي حيثما أمكن. يجب التعامل مع تحديثات التبعيات التي تتضمن إصلاحات أمنية على أنها مهام أمنية أساسية وليس مجرد صيانة دورية.
التحدي الأكبر يكمن في تغيير طريقة العمل. أصبح اكتشاف الثغرات أقل تكلفة، لكن عملية فرز التقارير، وشحن الإصلاحات، وضمان تثبيتها لا تزال تتطلب جهدًا كبيرًا، وغالبًا ما يقع الكثير من هذا العبء على المتطوعين وفريق صغير من المدققين البشريين الذين يُتوقع منهم مواكبة سرعة الآلات.