كشفت شركة Anthropic، الرائدة في مجال الذكاء الاصطناعي، عن اكتشاف نموذجها اللغوي الجديد، Claude Opus 4.6، لأكثر من 500 ثغرة أمنية عالية الخطورة وغير معروفة سابقًا في مكتبات المصادر المفتوحة، بما في ذلك Ghostscript و OpenSC و CGIF. يأتي هذا الإنجاز ليؤكد على القدرات المتزايدة لنماذج الذكاء الاصطناعي في مجال تحليل الشيفرة وأمن البرمجيات.
تم إطلاق Claude Opus 4.6 يوم الخميس، ويتميز بتحسينات ملحوظة في مهارات البرمجة، والتي تشمل مراجعة الأكواد وتصحيح الأخطاء، بالإضافة إلى تعزيز قدراته في مهام مثل التحليلات المالية، والأبحاث، وإنشاء المستندات. وهذا التطور يفتح آفاقًا جديدة في مجالات استخدام الذكاء الاصطناعي في الأمن السيبراني.
Claude Opus 4.6: ثورة في اكتشاف الثغرات الأمنية
صرحت Anthropic بأن النموذج الجديد “أفضل بشكل ملحوظ” في اكتشاف نقاط الضعف عالية الخطورة دون الحاجة إلى أدوات متخصصة أو توجيهات معينة. تستخدم الشركة حاليًا النموذج لتحديد وإصلاح الثغرات في برمجيات المصادر المفتوحة، مما يساهم في تعزيز أمن البرمجيات مفتوحة المصدر.
وأضافت الشركة أن Claude Opus 4.6 يقرأ الأكواد ويتعامل معها بمنطقية تشبه الباحث البشري؛ فهو يبحث عن إصلاحات سابقة لتحديد أخطاء مماثلة لم تتم معالجتها، ويكشف عن أنماط معينة تتسبب عادةً في مشاكل، أو يفهم جزءًا من الشيفرة بدرجة كافية لمعرفة المدخلات التي قد تؤدي إلى تعطيله.
اختبارات ميدانية للتحقق من قدرات النموذج
قبل إطلاقه رسميًا، قامت “فريق الحدود الحمراء” (Frontier Red Team) في Anthropic باختبار النموذج داخل بيئة افتراضية. تم تزويد النموذج بالأدوات اللازمة، مثل مصححات الأخطاء (debuggers) وأدوات الاستكشاف (fuzzers)، للعثور على عيوب في مشاريع المصادر المفتوحة. كان الهدف هو تقييم قدرات النموذج الأساسية دون تقديم أي تعليمات حول كيفية استخدام هذه الأدوات أو معلومات من شأنها مساعدته في تحديد الثغرات بشكل أفضل.
وأكدت الشركة أنها قامت بالتحقق من كل ثغرة تم اكتشافها للتأكد من عدم اختلاقها (hallucination)، وأن النموذج تم استخدامه كأداة لتحديد أولويات الثغرات الأكثر خطورة المتعلقة بتلف الذاكرة التي تم تحديدها.
أمثلة على الثغرات المكتشفة
بعض الثغرات الأمنية التي تم رصدها بواسطة Claude Opus 4.6، وتم إصلاحها منذ ذلك الحين من قبل المسؤولين عن المشاريع المعنية، تشمل:
- تحليل سجل التعديلات (commit history) في Git لتحديد ثغرة في Ghostscript قد تؤدي إلى تعطل البرنامج بسبب افتقاد آلية فحص للحدود.
- البحث عن استدعاءات دوال مثل strrchr() و strcat() لتحديد ثغرة تجاوز سعة المخزن المؤقت (buffer overflow) في OpenSC.
- ثغرة تجاوز سعة المخزن المؤقت في الذاكرة الديناميكية (heap buffer overflow) في CGIF، وتم إصلاحها في الإصدار 0.5.1.
وصفت Anthropic الثغرة في CGIF بأنها “مثيرة للاهتمام بشكل خاص”، حيث أن استغلالها يتطلب فهمًا للمفاهيم الأساسية لخوارزمية LZW وعلاقتها بتنسيق ملفات GIF. وأشارت إلى أن أدوات الاستكشاف التقليدية تواجه صعوبة في تحديد الثغرات من هذا النوع لأنها تتطلب اتخاذ خيارات محددة للمسارات التنفيذية في الشيفرة. وأضافت أنه حتى مع تغطية كاملة للشيفرة، قد تظل هذه الثغرة غير مكتشفة لأنها تتطلب تسلسلاً محددًا جدًا من العمليات.
دور الذكاء الاصطناعي في تعزيز الأمن السيبراني
تعتبر Anthropic نماذج الذكاء الاصطناعي مثل Claude أداة حيوية للمدافعين لـ “موازنة ساحة اللعب”. ولكنها شددت أيضًا على أنها ستقوم بتعديل وتحديث إجراءاتها الوقائية مع اكتشاف التهديدات المحتملة، وستطبق آليات حماية إضافية لمنع إساءة الاستخدام.
يأتي هذا الكشف بعد أسابيع قليلة من إعلان Anthropic أن نماذج Claude الحالية يمكنها النجاح في هجمات متعددة المراحل على شبكات تضم عشرات الأجهزة، وذلك باستخدام أدوات قياسية مفتوحة المصدر فقط، من خلال تحديد واستغلال الثغرات الأمنية المعروفة.
وأوضح البيان أن هذا يوضح كيف تنخفض الحواجز أمام استخدام الذكاء الاصطناعي في مسارات العمل السيبرانية المستقلة نسبيًا بسرعة، ويسلط الضوء على أهمية الأسس الأمنية مثل إصلاح الثغرات المعروفة فور ظهورها.