Close Menu
Login
المراقب الأمني
الثغرات الأمنية

5 تهديدات تعيد تشكيل أمن الويب في 2025

فريق التحريربواسطة 9 دقائق7 زيارة

أبوظبي – شهد العام 2025 تحولاً جذرياً في مشهد الأمن السيبراني، حيث أصبحت الأساليب التقليدية لحماية مواقع الويب عاجزة أمام التهديدات المتطورة. دفع ظهور هجمات الذكاء الاصطناعي، وتقنيات الحقن (Injection Techniques) المتزايدة، فضلاً عن الاختراقات التي استهدفت سلاسل الإمداد وأثرت على مئات الآلاف من المواقع، إلى إعادة تقييم شاملة للاستراتيجيات الدفاعية.

تأتي هذه التحولات لتؤكد على الحاجة الملحة لتبني مقاربات أمنية جديدة تتماشى مع التحديات الرقمية الحديثة، وسيتعين على المؤسسات تبني حلول أكثر استباقية ومرونة.

تحديات الأمن السيبراني في 2025

ركز خبراء الأمن السيبراني في عام 2025 على خمسة تهديدات رئيسية أعادت تشكيل مفهوم حماية الويب، وتشير الدروس المستفادة منها إلى أنها ستحدد مسار الأمن الرقمي لسنوات قادمة. تتمثل هذه التحديات في تقنيات البرمجة المبتكرة، ونقاط الضعف في أكواد البرمجيات، وصولاً إلى استغلال سلاسل الإمداد.

1. البرمجة بالأسلوب (Vibe Coding)

برزت تقنية “البرمجة بالأسلوب” أو “Vibe Coding”، التي تعتمد على الأكواد المكتوبة بلغة طبيعية، من مجرد تجربة إلى واقع إنتاجي في عام 2025. فقد استخدم ما يقرب من 25% من الشركات الناشئة في حاضنات مثل Y Combinator الذكاء الاصطناعي لبناء قواعد أكوادها الأساسية. مثال على ذلك، قام مطور واحد بإطلاق محاكاة طيران متعددة اللاعبين في أقل من ثلاث ساعات، لتتوسع لاحقاً وتخدم 89 ألف لاعب مدرة آلاف الدولارات شهرياً.

النتائج المترتبة

أدت هذه التقنية إلى إنتاج أكواد تعمل بكفاءة ولكنها تحتوي على ثغرات أمنية، مما يجعلها تتجاوز أدوات الأمان التقليدية. فالذكاء الاصطناعي يولد ما يتم طلبه بالضبط، وليس بالضرورة ما ينبغي تضمينه للحماية.

خسائر وانتهاكات

  • حذف قاعدة بيانات الإنتاج: ساعد مساعد الذكاء الاصطناعي في Replit على حذف قاعدة بيانات أحد العملاء، رغم أوامر تجميد الكود.
  • اختراق أدوات تطوير الذكاء الاصطناعي: كشفت ثلاث ثغرات أمنية (CVEs) عن عيوب حرجة في مساعدي الترميز بالذكاء الاصطناعي، مما أتاح تنفيذ أوامر عشوائية والوصول إلى أنظمة الملفات، وسحب البيانات.
  • تجاوز المصادقة: سمح كود تسجيل الدخول الذي تم إنشاؤه بواسطة الذكاء الاصطناعي بتجاوز التحقق من المدخلات، مما مكن من حقن حمولات ضارة.
  • إحصائيات الكود غير الآمن: يحتوي 45% من الكود الناتج عن الذكاء الاصطناعي على عيوب قابلة للاستغلال، بنسبة 70% في لغة Java.

اختراق منصة Base44 (يوليو 2025)

في يوليو 2025، اكتشف باحثون أمنيون ثغرة حرجة في المصادقة بمنصة Base44، وهي منصة برمجة شائعة مملوكة لشركة Wix. سمحت هذه الثغرة للمهاجمين غير المصادق عليهم بالوصول إلى أي تطبيق خاص على البنية التحتية المشتركة، مما هدد تطبيقات المؤسسات التي تتعامل مع معلومات شخصية، وعمليات الموارد البشرية، والروبوتات الداخلية.

قامت Wix بإصلاح الثغرة خلال 24 ساعة، لكن الحادثة كشفت خطراً جسيماً: عند فشل أمان المنصة، تصبح جميع التطبيقات المبنية عليها عرضة للخطر بشكل متزامن.

استجابة الدفاع

بدأت المؤسسات حالياً بتطبيق توجيهات الأمان أولاً، والتحقق متعدد الخطوات، والمراقبة السلوكية التي تكشف عن استدعاءات واجهة برمجة التطبيقات غير المتوقعة، وأنماط التسلسل المنحرفة، أو ثغرات التوقيت. ومع تصنيف قانون الذكاء الاصطناعي الأوروبي لبعض تقنيات البرمجة بالأسلوب على أنها “أنظمة ذكاء اصطناعي عالية المخاطر”، لم يعد ضمان الأداء الوظيفي كافياً للأمان.

2. حقن جافاسكريبت (JavaScript Injection)

في مارس 2025، تعرض 150 ألف موقع ويب للاختراق ضمن حملة حقن جافاسكريبت منسقة للترويج لمنصات قمار صينية. قام المهاجمون بحقن نصوص وعناصر iframe تحاكي مواقع مراهنات شرعية، مستخدمين تراكبات CSS بملء الشاشة لاستبدال المحتوى الفعلي بصفحات هبوط خبيثة.

أظهر حجم الحملة وتطورها كيف تم تحويل الدروس المستفادة من اختراق Polyfill.io في عام 2024، حيث استغلت شركة صينية مكتبة موثوقة أثرت على أكثر من 100 ألف موقع، بما في ذلك Hulu وMercedes-Benz وWarner Bros، إلى أنماط هجوم قابلة للتكرار. ومع استخدام 98% من مواقع الويب لجافاسكريبت من جانب العميل، فإن سطح الهجوم لم يكن أكبر بهذا الشكل من قبل.

التأثير

حتى حماية React ضد هجمات XSS فشلت، حيث استغل المهاجمون تلوث البروتوتايب (Prototype Pollution)، وهجمات XSS المستندة إلى DOM، وحقن الأوامر المدفوعة بالذكاء الاصطناعي.

الخسائر

  • أكثر من 150 ألف موقع مخترق: أثبتت حملة القمار حقن جافاسكريبت على نطاق صناعي في عام 2025.
  • 22,254 ثغرة موثقة: زيادة بنسبة 30% عن عام 2023، مما يشير إلى نمو كبير في الثغرات.
  • تجاوز 50 ألف جلسة مصرفية: استهدف برامج ضارة أكثر من 40 بنكًا عبر ثلاث قارات باستخدام الكشف عن هيكل الصفحة في الوقت الفعلي.

الحل

تتبنى المؤسسات الآن نهج تخزين البيانات الأولية والترميز بناءً على سياق الإخراج: ترميز HTML لعناصر div، والهروب من جافاسكريبت لعلامات script، وترميز URL للروابط. وتقوم المراقبة السلوكية بتسجيل التحذيرات عند قيام المكتبات الثابتة بطلبات POST غير مصرح بها فجأة.

3. Magecart / E-skimming 2.0

شهدت هجمات Magecart زيادة بنسبة 103% في ستة أشهر فقط، حيث استغل المهاجمون تبعيات سلاسل الإمداد، وفقًا لمجموعة Insikt التابعة لمؤسسة Recorded Future. على عكس الخروقات التقليدية التي تطلق الإنذارات، تتنكر برامج سرقة الويب كنصوص برمجية شرعية أثناء جمع بيانات الدفع في الوقت الفعلي.

الواقع

أظهرت الهجمات درجة عالية من التطور، بما في ذلك التلاعب بـ DOM Shadow، واستخدام اتصالات WebSocket، والتحديد الجغرافي. وكان أحد المتغيرات يبقى خاملاً عند فتح Chrome DevTools.

الخسائر

  • اختراق علامات تجارية كبرى: تكبدت شركات مثل British Airways وTicketmaster وNewegg ملايين الغرامات وتضررت سمعتها.
  • استغلال مكتبة Modernizr: تم تنشيط الكود فقط على صفحات الدفع عبر آلاف المواقع، وكان غير مرئي لجدران حماية تطبيقات الويب (WAFs).
  • انتقاء مدعوم بالذكاء الاصطناعي: قام المهاجمون بتصنيف المتصفحات حسب مشترياتهم الفاخرة، واستنزاف المعاملات ذات القيمة العالية فقط.

حملة نطاق cc-analytics (سبتمبر 2025)

كشف باحثون أمنيون عن حملة Magecart معقدة استخدمت جافاسكريبت مشفرة للغاية لسرقة بيانات بطاقات الدفع من مواقع التجارة الإلكترونية المخترقة، حيث تركزت البنية التحتية الخبيثة حول النطاق cc-analytics[.]com، والتي كانت تجمع بنشاط معلومات العملاء الحساسة لمدة عام على الأقل.

استجابة الدفاع

اكتشفت المؤسسات أن سياسة أمان المحتوى (CSP) وفرت ثقة زائفة، حيث قام المهاجمون ببساطة باختراق النطاقات المدرجة في القائمة البيضاء. الحل: التحقق من صحة الكود من خلال السلوك، وليس المصدر. يتطلب معيار PCI DSS 4.0.1 القسم 6.4.3 مراقبة مستمرة لجميع النصوص البرمجية التي تصل إلى بيانات الدفع، مع الالتزام الإلزامي اعتبارًا من مارس 2025.

4. هجمات سلسلة التوريد المدعومة بالذكاء الاصطناعي

قفزت التحميلات الضارة للحزم إلى مستودعات المصادر المفتوحة بنسبة 156% في عام 2025، حيث استغل المهاجمون الذكاء الاصطناعي. الهجمات التقليدية كانت تعتمد على بيانات الاعتماد المسروقة، أما التهديدات الجديدة فقد قدمت برامج ضارة متعددة الأشكال (Polymorphic Malware) تعيد كتابة نفسها مع كل تكرار، وأكواد حساسة للسياق تكشف البيئات الوهمية (Sandboxes).

العواقب

تتحور المتغيرات التي ينشئها الذكاء الاصطناعي يوميًا، مما يجعل الكشف المبني على التواقيع عديم الفائدة. أظهر تقرير IBM لعام 2025 أن الاختراقات تستغرق 276 يومًا ليتم تحديدها و 73 يومًا لاحتوائها.

الخسائر

  • باب خلفي في Solana Web3.js: قام قراصنة بسرقة ما بين 160 ألف و 190 ألف دولار من العملات المشفرة خلال فترة خمس ساعات.
  • زيادة 156% في الحزم الضارة: تم تمويهها دلاليًا مع وثائق واختبارات وحدة لتبدو شرعية.
  • نافذة كشف مدتها 276 يومًا: تتجنب البرامج الضارة متعددة الأشكال التي تم إنشاؤها بواسطة الذكاء الاصطناعي الفحص الأمني التقليدي.

دودة Shai-Hulud (سبتمبر-ديسمبر 2025)

استخدمت البرامج الضارة ذاتية التناسخ نصوص Bash التي تم إنشاؤها بواسطة الذكاء الاصطناعي (تم التعرف عليها من خلال التعليقات والرموز التعبيرية) لاختراق أكثر من 500 حزمة npm وأكثر من 25 ألف مستودع GitHub في 72 ساعة. استغلت الهجمات أدوات سطر أوامر الذكاء الاصطناعي للاستطلاع، وتم تصميمها لتجنب التحليل الأمني المدعوم بالذكاء الاصطناعي – حيث صنفت كل من ChatGPT و Gemini بشكل غير صحيح حمولات البرامج الضارة على أنها آمنة. قامت الدودة بجمع بيانات الاعتماد من بيئات المطورين ونشرت تلقائيًا إصدارات تجسسية باستخدام رموز مميزة مسروقة، مما حول خطوط أنابيب CI/CD إلى آليات توزيع.

الإجراءات المضادة

نشرت المؤسسات أنظمة كشف خاصة بالذكاء الاصطناعي، وتحليل مصدر السلوك، والدفاع في وقت التشغيل بالحد الأدنى من الامتيازات (Zero-Trust Runtime Defense)، والتحقق من “إثبات الإنسانية” للمساهمين. وأضاف القانون الأوروبي للذكاء الاصطناعي غرامات تصل إلى 35 مليون يورو أو 7% من الإيرادات العالمية.

5. التحقق من خصوصية الويب

كشفت الأبحاث أن 70% من أفضل المواقع الأمريكية تسقط ملفات تعريف الارتباط الإعلانية حتى عندما يرفض المستخدمون، مما يعرض المؤسسات لفشل الامتثال والأضرار السمعية. لم تتمكن عمليات التدقيق الدورية ونوافذ ملفات تعريف الارتباط الثابتة من مواكبة “انحراف الخصوصية”.

المشكلة

تجمع بكسلات التسويق معرفات غير مصرح بها، وتتتبع الأكواد الخارجية سياسات خارج تلك المعلنة، وآليات الموافقة تتعطل بعد التحديثات، وكل ذلك يحدث بصمت.

الخسائر

  • غرامة 4.5 مليون يورو على بائع تجزئة: أرسل نص برنامج الولاء رسائل بريد إلكتروني للعملاء إلى نطاقات خارجية لمدة أربعة أشهر دون اكتشاف.
  • انتهاكات HIPAA في شبكة مستشفيات: جمعت نصوص التحليلات الخارجية بصمت بيانات المرضى دون موافقة.
  • 70% عدم امتثال لملفات تعريف الارتباط: تتجاهل أفضل المواقع الأمريكية تفضيلات إلغاء الاشتراك للمستخدمين، مما يتناقض مع ادعاءات الخصوصية.

بكسلات التتبع في Capital One (مارس 2025)

قضت المحكمة الفيدرالية بأن مشاركة Meta Pixel و Google Analytics و Tealium لحالة طلبات بطاقات الائتمان، وتفاصيل التوظيف، ومعلومات الحسابات المصرفية تشكل “استنزافًا للبيانات” بموجب قانون خصوصية المستهلك في كاليفورنيا (CCPA). أوسع قرار مارس 2025 المسؤولية بما يتجاوز الخروقات التقليدية، وعرض الشركات لغرامات تتراوح بين 100 إلى 750 دولارًا لكل حادثة (CCPA) بالإضافة إلى 5000 دولار لكل حادثة (انتهاكات قانون مراقبة الاتصالات في كاليفورنيا – CIPA)، مما حول التتبع الروتيني إلى مخاطر دعاوى قضائية تعادل خروقات الأمان.

استجابة الدفاع: أصبح التحقق المستمر من خصوصية الويب هو الحل: مراقبة خالية من الوكيل تضمن أن النشاط الفعلي يتوافق مع السياسات المعلنة من خلال رسم خرائط البيانات، وتنبيهات فورية، والتحقق من الإصلاحات. 20% فقط من الشركات كانت واثقة في الامتثال في بداية العام؛ والشركات التي طبقت المراقبة المستمرة سهلت عمليات التدقيق ودمجت الخصوصية في سير عمل الأمان.

الطريق إلى الأمام: الأمان الاستباقي في عصر الذكاء الاصطناعي

تشترك هذه التهديدات الخمسة في خيط مشترك: أصبح الأمان التفاعلي عبئًا. درس عام 2025 واضح: بحلول الوقت الذي تكتشف فيه مشكلة بالطرق التقليدية، تكون قد تعرضت للاختراق بالفعل.

المؤسسات التي تزدهر في هذا المشهد تشترك في ثلاث خصائص:

  • تفترض حدوث الاختراق كحالة افتراضية: بدلاً من منع جميع حالات التسلل، تركز على الكشف السريع والاحتواء، مدركة أن الوقاية الكاملة أمر مستحيل.
  • تتبنى التحقق المستمر: تعمل برامج الأمان الناجحة في وضع اليقظة المستمرة بدلاً من دورات التدقيق الدورية.
  • تعامل الذكاء الاصطناعي كأداة وتهديد في آن واحد: نفس التكنولوجيا التي تولد نقاط الضعف يمكن أن تشغل أنظمة الدفاع. أصبح نشر أنظمة أمان واعية بالذكاء الاصطناعي للكشف عن التهديدات التي ينشئها الذكاء الاصطناعي أمرًا أساسيًا.

قائمة تدقيق جاهزية الأمان لعام 2026

يجب على فرق الأمن إعطاء الأولوية لهذه التحققات الخمسة:

  1. جرد تبعيات الطرف الثالث: قم برسم خريطة لكل نص خارجي ومكتبة ونقطة نهاية واجهة برمجة تطبيقات (API) في بيئة الإنتاج. إن الكود غير المعروف يمثل خطرًا غير مراقب.
  2. تطبيق المراقبة السلوكية: انشر أنظمة الكشف في وقت التشغيل التي تسجل تدفقات البيانات الشاذة، واستدعاءات واجهة برمجة التطبيقات غير المصرح بها، وتنفيذ الكود غير المتوقع.
  3. تدقيق الكود الذي تم إنشاؤه بواسطة الذكاء الاصطناعي: تعامل مع جميع الأكواد الناتجة عن نماذج اللغة الكبيرة (LLM) كمدخلات غير موثوقة. اطلب مراجعة أمنية، وفحصًا للأسرار، واختبار اختراق قبل النشر.
  4. التحقق من ضوابط الخصوصية في بيئة الإنتاج: اختبر موافقات ملفات تعريف الارتباط، وحدود جمع البيانات، وتتبع الطرف الثالث في البيئات الحية، وليس فقط في بيئة الاختبار.
  5. إنشاء التحقق المستمر: انتقل من عمليات التدقيق الفصلية إلى المراقبة في الوقت الفعلي مع التنبيهات الآلية.

السؤال ليس ما إذا كان سيتم اعتماد هذه النماذج الأمنية، بل مدى سرعة المؤسسات في تنفيذها. التهديدات التي أعادت تشكيل الأمن السيبراني في عام 2025 ليست مجرد اضطرابات مؤقتة – بل هي الأساس لسنوات قادمة.

المؤسسات التي تتصرف الآن هي التي ستحدد معايير الأمان؛ أما تلك التي تتردد، فستكافح للحاق بالركب.

شاركها.

يُقدّم فريقنا تقارير موثوقة وتحليلات متعمقة لمساعدة القراء والمتخصصين على فهم مشهد التهديدات الرقمية عالميًا.

Keep Reading

© 2026 أخبار الهاكرز. جميع الحقوق محفوظة.