طوّرت Anthropic قدرات نموذجها الأحدث Claude Opus 4.6 ليصبح أشبه بـ«صيّاد ثغرات» يعمل تلقائيًا على فحص الشيفرة ورصد عيوب أمان معقّدة لم تستطع الأدوات التقليدية اكتشافها، ثم حوّلت هذه القدرات إلى أداة أمنية مدمجة في منتجها الموجه للمطورين Claude Code.
500 ثغرة خطيرة في مكتبات مفتوحة المصدر
تقول Anthropic إن Claude Opus 4.6 نجح خلال اختبارات داخلية في اكتشاف أكثر من 500 ثغرة «صفرية اليوم» عالية الخطورة في مكتبات مفتوحة المصدر مستخدمة على نطاق واسع، مثل Ghostscript وOpenSC وCGIF. أعطي النموذج هدفًا عامًا: البحث عن ثغرات في برمجيات محددة مع إمكانية استخدام أدوات قياسية مثل Python وأدوات تحليل الثغرات، لكنه اختار بنفسه منهجيته في الاستكشاف والتحليل.
هذه الثغرات شملت فئات حساسة مثل تلف الذاكرة (memory corruption)، ثغرات تنفيذ التعليمات عن بُعد، وأخطاء في التحقق من المدخلات والمصادقة، وجميعها يمكن أن تشكل مدخلًا لهجمات كبيرة لو استغلها مهاجمون. وأكدت الشركة أن كل ثغرة تم التحقق منها يدويًا قبل إبلاغ القائمين على المشاريع المفتوحة المصدر، وقد جرى إصلاح الكثير منها بالفعل.
من نموذج بحثي إلى أداة أمنية للمطورين
استثمرت Anthropic هذه القدرات في منتج عملي عبر إضافة مراجعات أمان آلية إلى أداة Claude Code، وهي أداة سطر أوامر تتكامل مع مستودعات الكود وأنظمة CI/CD مثل GitHub Actions. بات بإمكان المطور أن يطلب من الأداة إجراء /security-review على مشروعه، ليقوم Claude بمسح الشيفرة بحثًا عن أنماط ثغرات شائعة، مع شرح تفصيلي للمشكلات واقتراح إصلاحات لها.
تشمل الفئات التي يمكن اكتشافها: مخاطر حقن SQL، ثغرات XSS، مشاكل المصادقة والتفويض، التعامل غير الآمن مع البيانات، وثغرات في الاعتماديات (Dependencies). ويمكن أيضًا تشغيل هذا الفحص آليًا عند انتقال الكود من بيئة التطوير إلى الاختبار، بحيث لا يصل أي كود إلى الإنتاج من دون مرور بمراجعة أمان آلية على الأقل.
سباق تسلّح جديد في عالم الأمن السيبراني
تحذّر تقارير تقنية من أن قدرة نموذج واحد على اكتشاف عشرات أو مئات الثغرات «صفرية اليوم» تعني أن الذكاء الاصطناعي قد يغيّر قواعد اللعبة في الأمن السيبراني؛ إذ يمكن أن يساعد المدافعين على تسريع اكتشاف الثغرات وسدها، لكنه في الوقت نفسه قد يُستغل من قبل مهاجمين للعثور على نفس الثغرات قبل إصلاحها. وتقر Anthropic بأن هذه القدرات «مزدوجة الاستخدام»، وتقول إنها بدأت في نشر آليات مراقبة داخلية لـClaude لرصد أنماط الاستخدام الخبيث، مع إمكانية حجب الطلبات التي يُشتبه في استغلالها لأغراض هجومية.
مع ذلك، يرى متخصصون أن دمج مثل هذه الأدوات في دورة تطوير البرمجيات بات اتجاهًا لا مفر منه، وأن دور البشر سيتحوّل تدريجيًا من القيام بالمراجعة التفصيلية إلى الإشراف على مخرجات أنظمة الذكاء الاصطناعي، وتقييم مدى خطورة الثغرات والحلول المقترحة لها.
زاوية تحريرية لمادتك
يمكن تقديم الخبر تحت عنوان تقني–اقتصادي يربط بين «ثورة أدوات الأمن بالذكاء الاصطناعي» و«سباق التسلح السيبراني»، مع إبراز:
- أن النموذج لم يعد يكتفي بمساعدة المبرمج، بل يتحول إلى عميل أمني استباقي يمشّط الكود ويقترح إصلاحات.
- أن Anthropic توظّف نفس الأدوات داخليًا لحماية منتجاتها، ما يعكس ثقة عملية في قدرات النموذج الجديد
