كشفت شركة الذكاء الاصطناعي أنثروبيك Anthropic، عن أن أحدث نماذجها اللغوية الكبيرة Claude Opus 4.6، نجح في اكتشاف أكثر من 500 ثغرة أمنية خطيرة غير معروفة سابقا في مكتبات مفتوحة المصدر، من بينها Ghostscript وOpenSC وCGIF.
وتم إطلاق النموذج الجديد مع تحسينات ملحوظة في قدراته البرمجية، تشمل مراجعة الأكواد واكتشاف الأخطاء Debugging، إضافة إلى تطوير أدائه في مجالات مثل التحليل المالي، والبحث، وإنشاء المستندات.
نموذج أنثروبيك الجديد يكتشف 500 ثغرة برمجية عالية الخطورة
أوضحت الشركة أن Claude Opus 4.6 يتميز بقدرته الواضحة على اكتشاف الثغرات عالية الخطورة دون الحاجة إلى أدوات مخصصة أو إعدادات خاصة أو أوامر توجيه معقدة، مؤكدة أنها بدأت بالفعل في استخدامه للمساعدة في العثور على الثغرات الأمنية في البرمجيات مفتوحة المصدر والعمل على معالجتها.
وقالت أنثروبيك إن النموذج “يقرأ ويفهم الشيفرات البرمجية بالطريقة نفسها التي يعمل بها الباحث البشري”، إذ يعتمد على تحليل الإصلاحات السابقة لاكتشاف أخطاء مشابهة لم يتم الانتباه إليها، والتعرف على الأنماط البرمجية التي تتسبب عادة في مشكلات أمنية، إضافة إلى فهم منطق الشيفرة بشكل يسمح بتحديد المدخلات القادرة على تعطيلها.
وقبل الإطلاق الرسمي، خضع النموذج لاختبارات مكثفة أجراها فريق Frontier Red Team التابع للشركة داخل بيئة افتراضية، حيث زود بأدوات مثل برامج تصحيح الأخطاء وأدوات الاختبار العشوائي Fuzzers.
وتهدف هذه التجربة إلى تقييم قدرات النموذج الأساسية دون إعطائه تعليمات حول كيفية استخدام الأدوات أو تزويده بمعلومات مسبقة تساعده على تحديد الثغرات.
وأكدت الشركة أنها قامت بالتحقق من جميع الثغرات المكتشفة للتأكد من أنها حقيقية وليست ناتجة عن “هلوسة” النموذج، مشيرة إلى استخدام الذكاء الاصطناعي أيضا في ترتيب الثغرات حسب درجة خطورتها، لا سيما تلك المرتبطة بفساد الذاكرة.
ومن بين الثغرات التي رصدها Claude Opus 4.6، والتي جرى إصلاحها لاحقا من قبل القائمين على المشاريع:
– اكتشاف ثغرة في Ghostscript من خلال تحليل سجل التعديلات البرمجية والتي قد تؤدي إلى تعطل البرنامج بسبب غياب فحص حدود الذاكرة.
– تحديد ثغرة تجاوز سعة الذاكرة Buffer Overflow في OpenSC عبر تتبع استدعاءات دوال مثل strrchr وstrcat.
– اكتشاف ثغرة تجاوز سعة الذاكرة في الكومة Heap Buffer Overflow في CGIF، تم إصلاحها في الإصدار 0.5.1.
ووصفت أنثروبيك ثغرة CGIF بأنها “مثيرة للاهتمام بشكل خاص”، موضحة أن استغلالها يتطلب فهما عميقا لخوارزمية LZW وعلاقتها بتنسيق ملفات GIF، وهو ما يجعل من الصعب على أدوات الاختبار التقليدية، وحتى الموجهة بالتغطية، اكتشافها.
وأضافت أن هذه الثغرة قد تبقى مخفية حتى مع تحقيق تغطية كاملة لأسطر الشيفرة والفروع البرمجية، نظرا لاعتمادها على تسلسل دقيق جدا من العمليات.
وتروج أنثروبيك لنماذج Claude بوصفها أداة أساسية لمساعدة المدافعين في مجال الأمن السيبراني على “تحقيق توازن في ساحة المواجهة”، لكنها شددت في الوقت نفسه على التزامها بتحديث إجراءات الحماية باستمرار، وإضافة ضوابط جديدة لمنع إساءة استخدام هذه التقنيات.
ويأتي هذا الإعلان بعد أسابيع من إقرار الشركة بأن نماذج Claude الحالية قادرة على تنفيذ هجمات سيبرانية متعددة المراحل على شبكات تضم عشرات الأجهزة، باستخدام أدوات مفتوحة المصدر فقط، من خلال استغلال ثغرات أمنية معروفة.
واختتمت الشركة بالقول إن هذه التطورات توضح كيف أن الحواجز أمام استخدام الذكاء الاصطناعي في العمليات السيبرانية شبه المستقلة تتلاشى بسرعة، ما يعزز أهمية الالتزام بأساسيات الأمن الرقمي، وعلى رأسها تحديث الأنظمة وسد الثغرات المعروفة في الوقت المناسب.
