أعلنت شركة أنثروبيك يوم الجمعة 6 مارس أنها اكتشفت 22 ثغرة أمنية جديدة في متصفح الويب فايرفوكس كجزء من شراكة أمنية مع موزيلا.
من بين هذه الثغرات، صُنّفت 14 ثغرة على أنها عالية الخطورة، وسبع ثغرات على أنها متوسطة الخطورة، وثغرة واحدة على أنها منخفضة الخطورة. وقد تمّت معالجة هذه الثغرات في إصدار فايرفوكس 148، الذي صدر أواخر الشهر الماضي. وتمّ تحديد هذه الثغرات خلال فترة أسبوعين في يناير 2026.
وقالت شركة الذكاء الاصطناعي إن عدد الأخطاء عالية الخطورة التي تم تحديدها بواسطة نموذج اللغة الكبير Claude Opus 4.6 يمثل ما يقرب من خُمس جميع الثغرات عالية الخطورة التي تم إصلاحها في Firefox في عام 2025.
وقالت شركة أنثروبيك إن برنامج LLM اكتشف خطأً في جافا سكريبت الخاص بالمتصفح بعد فقط 20 دقيقة من الاستكشاف، والذي تم التحقق منه بعد ذلك بواسطة باحث بشري في بيئة افتراضية لاستبعاد إمكانية وجود نتيجة إيجابية خاطئة.
أعلنت الشركة:
بحلول نهاية هذه الجهود، قمنا بفحص ما يقارب 6000 ملف مكتوب بلغة C++، وقدمنا 112 تقريرًا فريدًا، بما في ذلك الثغرات الأمنية عالية ومتوسطة الخطورة المذكورة أعلاه. وقد تم إصلاح معظم المشكلات في الإصدار 148 من فايرفوكس، وسيتم إصلاح ما تبقى منها في الإصدارات القادمة.
وقالت الشركة الناشئة في مجال الذكاء الاصطناعي إنها قامت أيضاً بتزويد نموذج كلود الخاص بها بإمكانية الوصول إلى القائمة الكاملة للثغرات الأمنية المقدمة إلى موزيلا، وكلفت أداة الذكاء الاصطناعي بتطوير استغلال عملي لها.
على الرغم من إجراء الاختبار عدة مئات من المرات وإنفاق حوالي 4000 دولار من أرصدة واجهة برمجة التطبيقات، قالت الشركة إن برنامج Claude Opus 4.6 لم يتمكن من تحويل الخلل الأمني إلى ثغرة أمنية إلا في حالتين فقط.
وأضافت الشركة أن هذا السلوك يشير إلى جانبين مهمين: تكلفة تحديد نقاط الضعف أرخص من إنشاء ثغرة لاستغلالها، والنموذج أفضل في إيجاد المشكلات من استغلالها.
ومع ذلك، فإن حقيقة تمكن كلود من تطوير ثغرة أمنية بدائية في المتصفح تلقائيًا، حتى لو كان ذلك في حالات قليلة فقط، أمر مثير للقلق، كما أكدت شركة أنثروبيك، مضيفة أن الثغرات الأمنية لم تعمل إلا ضمن حدود بيئة الاختبار الخاصة بها، والتي تم تجريدها عمدًا من بعض ميزات الأمان مثل الحماية المعزولة.
يُعدّ عنصر التحقق من المهام أحد المكونات الأساسية المدمجة في العملية لتحديد ما إذا كان الاستغلال يعمل بالفعل، مما يمنح الأداة ملاحظات في الوقت الفعلي أثناء استكشافها لقاعدة التعليمات البرمجية المعنية ويسمح لها بتكرار نتائجها حتى يتم ابتكار استغلال ناجح.
إحدى هذه الثغرات التي كتبها كلود كانت لـ CVE-2026-2796 (درجة CVSS: 9.8)، والتي تم وصفها بأنها خطأ في الترجمة في الوقت المناسب (JIT) في مكون JavaScript WebAssembly.
يأتي هذا الكشف بعد أسابيع من إصدار الشركة لبرنامج Claude Code Security في معاينة بحثية محدودة كوسيلة لإصلاح الثغرات الأمنية باستخدام وكيل الذكاء الاصطناعي.
قالت شركة أنثروبيك:
لا يمكننا ضمان أن جميع التصحيحات التي يُنشئها الوكيل والتي تجتاز هذه الاختبارات جيدة بما يكفي لدمجها فورًا. لكن أدوات التحقق من المهام تمنحنا ثقة أكبر بأن التصحيح المُنتَج سيُصلح الثغرة الأمنية المحددة مع الحفاظ على وظائف البرنامج، وبالتالي يُحقق ما يُعتبر الحد الأدنى من المتطلبات لتصحيح مقبول.
أعلنت موزيلا، في بيان منسق، أن النهج المدعوم بالذكاء الاصطناعي قد اكتشف 90 خطأً برمجياً آخر، تم إصلاح معظمها. وتضمنت هذه الأخطاء حالات فشل في التحقق من صحة البيانات، والتي تداخلت مع المشكلات التي يتم اكتشافها عادةً من خلال اختبارات الفحص العشوائي، بالإضافة إلى أنواع مختلفة من الأخطاء المنطقية التي لم تتمكن هذه الاختبارات من رصدها.
يعكس حجم النتائج قوة الجمع بين الهندسة الدقيقة وأدوات التحليل الجديدة لتحقيق التحسين المستمر، هذا ما صرحت به الشركة المصنعة للمتصفح.
نحن نعتبر هذا دليلاً واضحاً على أن التحليل واسع النطاق المدعوم بالذكاء الاصطناعي يمثل إضافة جديدة قوية إلى مجموعة أدوات مهندسي الأمن.
بالنشر، أنت توافق على سياسة التعليقات.