كلاود أوبوس 4.8 يكتشف ثغرة بقيمة 4.5 مليار دولار في بروتوكول زكاش

المقالة: Sleepy

وجد شخص ما خطأً باستخدام Claude Opus 4.8 أدى إلى تبخر قيمة سوقية لعملة مشفرة قدرها 4.5 مليار دولار أمريكي.

بدأت القصة بفحص أمني. زيكاش هي شبكة خصوصية قديمة تستخدم إثباتات المعرفة الصفرية لحماية معلومات المعاملات، وتعتبر Orchard المكان الأساسي لقدراتها على إجراء معاملات خاصة.

في 29 مايو، اكتشف باحث الأمن تايلور هورنباي، أثناء مراجعة البروتوكول التي أجرتها Shielded Labs، وجود ثغرة خطيرة في Orchard تسمح للمهاجمين بإنشاء عملات معدنية لم تكن موجودة أصلاً، أي "الإصدار اللانهائي".

ثم أكملت Zcash ترقية طارئة خلال أيام قليلة، وتأكّد المسؤولون رسمياً وجود الثغرة، لكنهم لم يتمكنوا من التأكد مما إذا كان أحد قد استغلها لزيادة إصدار العملات. بعد إصدار البيان الرسمي في 5 يونيو، هبطت Zcash بنسبة 50%.

تم إصدار Opus 4.8 من Anthropic في 28 مايو، وفي اليوم التالي، تم اكتشاف هذه الثغرة.

هذا الحدث الخاص بـ Zcash مخيف، ليس لأن الذكاء الاصطناعي قوي، بل لأنه كان قويًا بشكل عادي جدًا هذه المرة.

قبل ذلك، كان ما تخشاه صناعة الأمن حقًا هو إصدار Claude Mythos Preview من Anthropic. في أبريل 2026، نشرت Anthropic تقييمًا لقدرات الأمن السيبراني، قائلةً إن Mythos Preview تمكّن في الاختبارات من التعرف على الثغرات الصفرية في أنظمة التشغيل والمتصفحات الشائعة واستغلالها، وكانت بعض هذه الثغرات خفية جدًا ومخبأة منذ عقود، حيث يمكن تتبع أحد ثغرات OpenBSD إلى ما قبل 27 عامًا.

كما أشار التقييم إلى أن مهندسًا دون خلفية أمنية يمكنه جعل Mythos Preview يعمل طوال الليل للبحث عن ثغرات تنفيذ كود عن بُعد، وعند الاستيقاظ في اليوم التالي، سيجد مجموعة كاملة من كود الهجوم القابلة للاستخدام.

هذا يعني أن قدرة كانت في الماضي حكرًا على عدد قليل فقط للتحكم بها على المدى الطويل، تتحول الآن إلى خدمة يمكن لأي شخص استدعاؤها في أي وقت. هذه القدرة نفسها لا تمتلك موقفًا، والفرق يكمن فقط في من يستخدمها ولأي غرض.

يُدرك Anthropic هذا الأمر أيضًا. لذا أطلق مشروع Project Glasswing، حيث قدم Mythos Preview أولًا لمجموعات صغيرة لإجراء أعمال أمنية وقائية. كما أنه يعترف أن هذا المستوى من النماذج يتطلب حماية أقوى وقيود استخدام أكثر صرامة قبل فتحه للجميع.

فيما يتعلق بـ Zcash، يستخدم الفنيون Opus 4.8 الذي تم إصداره ومتاح بالفعل وتم دمجه في سير العمل العادي، وليس Mythos الذي لا يزال مغلقًا.

دخل الذكاء الاصطناعي مجال الأمان، مما منح الفرق الصغيرة قدرات تدقيق تشبه الفرق الكبيرة. إنه يمكّن المطورين من العثور على الأخطاء بشكل أسرع، كما يمكّن المهاجمين من فهم النظام بشكل أسرع.

وأيضًا، الأكثر خطورة未必是最强的那个模型，而是那种足够强、足够便宜、又足够普遍的模型。

كلما كان النموذج أكثر شيوعًا، زاد عدد الأشخاص القادرين على استخدامه. وبالتالي، لم يعد السؤال هو ما إذا كان الذكاء الاصطناعي قادرًا على اكتشاف الثغرات، بل: ماذا سيحدث عندما يستطيع الجميع اكتشافها؟

بعد أن جعل الذكاء الاصطناعي اكتشاف الثغرات أرخص، ستظهر شيئان.

نوع واحد زائف، يحتوي على عدد كبير من تقارير الأمان التي تبدو واقعية ولكنها لا تتحمل التحقق. والنوع الآخر حقيقي، حيث بدأت الثغرات التي كانت مخبأة في أعماق النظام وتحتاج إلى خبراء لأسابيع أو حتى أشهر لاكتشافها، تُكتشف الآن بشكل أسرع.

الأول سيغمر المُطورين، والثاني سيُدمر النظام. والأكثر إرباكًا أنهما سيأتيان معًا.

كانت هناك سردية مثالية للأمان السيبراني: يكتشف القراصنة البيض الثغرات، ويُبلغون عنها بمسؤولية، تقوم الشركات بإصلاحها، وينتفع المستخدمون.

في كثير من الأحيان في الماضي، كان العالم يسير فعلاً وفقًا لهذا السرد. لكن عندما خفّض الذكاء الاصطناعي من عتبة "اكتشاف الثغرات"، وعندما أصبح الجميع قادرين على استخدام النماذج المفتوحة للبحث عن الأخطاء، دخلت كميات كبيرة من الأشخاص الذين يسعون إلى الحصول على مكافآت أو بناء سمعة. الكثير منهم ينسخون فقط سلسلة من الأوامر ويُطلقون النموذج لإنشاء تقرير يبدو مقنعًا. لكن التقرير ليس بالضرورة حقيقيًا.

لكن بغض النظر عن صحتها أو عدم صحتها، يجب على المُدرِّين التعامل معها بجدية.

عقد OpenSSF مناقشة في فبراير 2026 حول "تقارير الثغرات المُولَّدة بالذكاء الاصطناعي"، ركزت على كيفية تعامل مطوري البرمجيات المفتوحة المصدر مع التقارير منخفضة الجودة التي يُولّدها الذكاء الاصطناعي. وقد أفاد curl أنه بحلول منتصف عام 2025، كان حوالي 5% فقط من الطلبات المقدمة للمكافآت تمثل ثغرات حقيقية، بينما بدا حوالي 20% منها كمحتوى منخفض الجودة مُولَّد بالذكاء الاصطناعي. وقال OpenSSF إن هذه التقارير تشبه هجمات DDoS، لكنها تستهدف انتباه البشر.

المُطورون المساهمون في البرمجيات المفتوحة المصدر ليسوا مركز خدمة العملاء. كثير منهم لا يتقاضون رواتب، ولا يمتلكون فرق أمنية، ولا يمتلكون جداول تناوب. لكن مشروعًا واحدًا قد يدعم ملايين الأنظمة التجارية حول العالم، والشركات التي توفر تكاليف هائلة بفضل البرمجيات المفتوحة المصدر قد لا تدفع لأي من المُطورين دولارًا واحدًا؛ لكن بمجرد حدوث مشكلة، يعودون جميعًا ليسألوك: لماذا لم تصلحها من قبل؟

أوقف curl مشروع المكافآت على الثغرات لاحقًا لأن الأشخاص لم يستطيعوا التحمل. كانت التقارير الأمنية جزءًا من الخط الدفاعي، لكن عندما امتلأت التقارير بالمحتوى غير المرغوب فيه، تحول هذا الخط الدفاعي إلى عبء يُستهلك من قبل الأشخاص الذين يحمونه.

الذكاء الاصطناعي منح المزيد من الأشخاص القدرة على تقديم تقارير الثغرات، لكنه لم يمنح المزيد من الأشخاص القدرة على تقييم صحة هذه الثغرات. القدرة على توليد تقرير بواسطة نموذج لا تعني فهم هذا التقرير؛ وقدرة تشغيل كود تحقق لا تعني القدرة على توضيح مدى تأثيره فعليًا.

والأكثر خطورة أننا نعيش فعليًا في عالم يمكن فيه استخدام الذكاء الاصطناعي لاكتشاف عدد لا حصر له من الثغرات.

الإنترنت يخلق أكبر خرافة للناس، وهي أن أي شيء يمكن تشغيله يجب أن يكون موثوقًا.

يمكنك الدفع عبر الهاتف المحمول، ومسح رمز الاستجابة السريعة لركوب المترو، وحجز موعد في المستشفى؛ حتى أن قرصًا سحابيًا يحتفظ بصورتك التي التُقطت قبل عشر سنوات، نسيتها أنت، لكنه لم ينسَها. هذه الأشياء تعمل يوميًا، لذا نفترض أنها خالية من أي مشكلة. الثقة التي يضعها الإنسان في التكنولوجيا، في كثير من الأحيان، ليست ثقة فعلية، بل كسل عن الشك.

يمكن أن يكون الكود مثل مبنى قديم يُضاف إليه طوابق باستمرار، حيث تُضغط تحته بروتوكولات وكتبات قديمة، وفوقه تُكدّس متطلبات مؤقتة و"نُطلقه أولاً وننظر لاحقاً"، بينما يُكدّس في الطابق العلوي كود موروث لا يجرؤ أحد على حذفه. الأنوار في المبنى مشتعلة، والمصعد لا يزال يصعد وينزل، والشركة المُدارة تقول إن كل شيء طبيعي. لكن لا أحد يعرف ما إذا كانت هناك شقوق داخل الجدران.

Heartbleed هو مثال نموذجي. ثغرة في OpenSSL سمحت للمهاجمين بقراءة المفاتيح الخاصة وكلمات المرور من ذاكرة الخادم، ولم تُكتشف وتُصلح حتى عام 2014. قبل ذلك، كانت هذه الثغرة خفية لأكثر من عامين، وفي ذلك الوقت، كان أكثر من ستين بالمئة من المواقع النشطة عالميًا تعمل على خوادم متأثرة. عامان كاملان، ونصف الإنترنت تقريبًا مكشوف تمامًا، دون أن يعلم أحد.

أيضًا Baron Samedit الخاص بـ sudo. عندما كشفت Qualys عنه في عام 2021، أشارت إلى أن هذا الثغرة كانت موجودة في sudo منذ ما يقرب من عقد من الزمن، وsudo هو أحد أكثر أدوات الصلاحيات استخدامًا في عالم Unix/Linux.

هناك أمثلة مشابهة كثيرة. عندما تنظر إليها معًا، تشعر فجأة أننا كنا محظوظين جدًا أننا استطعنا التصفح بأمان على الإنترنت حتى اليوم.

لماذا لم تُكتشف هذه الثغرات لفترة طويلة؟

الإجابة بسيطة: تكلفة العثور على الثغرات مرتفعة جدًا.

التكلفة لا تقتصر على المال، بل تشمل أيضًا الوقت والصبر. يجب قراءة الكود، وإعداد البيئة، وفهم البروتوكول، وتكرار ظروف الحدود، وكتابة كود التحقق، وتقييم نطاق التأثير، بالإضافة إلى القدرة على التمييز بين التحذيرات الزائفة. أحيانًا، يُشغّل البرنامج طوال الليل دون نتائج، وتجرب مسارًا كاملاً فقط لتكتشف أنه غير قابل للتنفيذ. في الواقع، غالبًا ما يُعاني باحثو الأمان والقراصنة من مواجهة مجموعة من التفاصيل المفككة.

لقد ظلت العديد من الثغرات مختبئة لفترة طويلة ليس لأنها غامضة للغاية، بل لأن القلة القليلة فقط هم من يرغبون، ويملكون القدرة، ويعملون باستمرار على البحث عنها.

ما يغيره الذكاء الاصطناعي هو هيكل التكلفة هذا.

في الماضي، كان هناك الكثير من الزوايا والزوايا المظلمة وقليل جدًا من المصابيح. الآن، بدأت المصابيح تُباع بالجملة.

يمكن لمصباح يدوي واحد أن يكشف عن الشقوق، كما يمكنه أن يُظهر المواقع التي يمكن الاستفادة منها. في اللحظة التي جعل فيها هذا المصباح "الاكتشاف" رخيصًا، جعل أيضًا "الهجوم" رخيصًا. فشخصٌ يستخدمه اليوم لتقديم تقرير منخفض الجودة لمشروع مفتوح المصدر، يمكنه غدًا استخدام نفس الطريقة لفحص أنظمة شركة؛ اليوم يفكر في مكافآت الثغرات، وغدًا قد يفكر في الأموال على السلسلة.

قبل حدوث أي شيء حقيقي، لا نشعر بوجود "الأمان على الإنترنت".

عندما تفتح Alipay، وتمسح الرمز، وتدفع، ويتلقى الحساب الأموال، قد لا يستغرق الأمر أكثر من ثلاث ثوانٍ. لكنك لن تتخيل عدد قواعد المخاطر، وعلامات الأجهزة، والتعرف على السلوك، ومكافحة الأنشطة غير المشروعة، والاستجابة للثغرات، والخطط الطارئة التي تكمن خلف ذلك.

في مايو 2026، أجرت مركز استجابة أمان موتان AntSRC حملة "عملية الصياد" لجوائز الثغرات، وشمل نطاق الاختبار خدمات مثل Alipay وHuabei وJiebei وAnt Wealth وMyBank وAnt Digital Technologies وAnt International. وتم تقديم مكافآت تصل إلى خمسة أضعاف للثغرات الخطيرة والحرجة في منتجات المعاملات المالية، والمالية، والفواتير، ويمكن أن تصل إلى 71,500 يوان.

الشركات الكبرى تدرك جيدًا أنها لا يمكنها الاعتماد فقط على فرقها الداخلية لاكتشاف جميع المشكلات، لذا يجب إدماج المنظمات الخارجية من المتخصصين في الأمن في العملية الرسمية. الأمن يشبه سلسلة تعاون طويلة: هناك من يكتشف الهجمات، ومن يتحقق منها ويصنفها ويصلحها ويُطلق التحديثات، كما يجب أن يكون هناك من يراقب بعناية لتجنب الإضرار بالمستخدمين العاديين. لا يمكن لأي جزء من هذه السلسلة أن ينقطع.

أشار تقرير الوضع الأمني لعام 2025 أكتوبر من علي بابا كلاود إلى أن المنصة السحابية دافعت في المتوسط عن عملائها ضد 6.245 مليار هجوم يوميًا، وحظرت 27,500 عنوان IP ضار؛ كما رصدت وحجبت 102,800 هجوم DDoS خلال الشهر، بذروة بلغت 2100 جيجابت في الثانية.

ما نسميه عادةً "التصفح الآمن" هو في الواقع طريق ضيق نجح مهندسو الأمن في إنقاذه من بين كم هائل من السلوكيات غير الطبيعية. الإنترنت لم تكن أبدًا هادئة.

المُطوّرون المفتوحو المصدر لا يمتلكون ميزانية ولا جداول عمل ولا فرق طوارئ؛ يمكن للشركات الكبرى شراء هذه الأشياء. لكن حتى الشركات الكبرى، لا يمكنها سوى الاعتماد على سلسلة طويلة من التعاون البشري لخفض الأخطاء إلى مستوى لا يشعر به المستخدمون العاديون.

أما هذه السلسلة الطويلة والهشة من التعاون، فهي كانت بالفعل تعمل بطاقة قصوى قبل أن تتدخل الذكاء الاصطناعي بشكل واسع. الآن، هل يكفي الأشخاص على جانب الدفاع للتعامل مع مضاعفة الثغرات ومضاعفة التقارير التي تُضاف إليها؟

تُقدّر تقرير قوة العمل في الأمن السيبراني لعام 2024 الخاص بـ ISC2 أن عدد محترفي الأمن السيبراني العاملين فعليًا حول العالم يبلغ حوالي 5.5 ملايين، مع وجود فجوة في الكوادر تصل إلى 4.8 ملايين، بزيادة قدرها 19% مقارنة بالعام السابق. ويوضح التقرير بشكل خاص أن هذه "الفجوة" ليست مبنية على عدد الوظائف المعلنة على مواقع التوظيف، بل هي الفرق بين العدد الذي تعتقد المنظمات أنه ضروري لحمايتها بشكل كافٍ، والعدد الفعلي المتاح من المهنيين.

المعنى بسيط جدًا: هناك ثغرات كثيرة وعدد الأشخاص غير كافٍ.

وليس فقط نقص في عدد الأشخاص، بل نقص في الأشخاص القادرين على تنفيذ المهام المعقدة. وتشير ISC2 أيضًا إلى أن 67% من المشاركين في الاستطلاع أفادوا بوجود نقص في موظفي الأمن السيبراني في منظماتهم، و58% يرون أن هذا النقص يعرض منظماتهم لمخاطر كبيرة. وذكر 31% أن فرق أمنهم لا تضم موظفين مبتدئين، و15% أفادوا بعدم وجود موظفين مبتدئين لديهم خبرة تتراوح بين سنة وثلاث سنوات. العديد من المنظمات لا تفتقر فقط إلى الأشخاص، بل أيضًا إلى قنوات تطوير الجيل القادم.

هذا أكثر إشكالية من عدم القدرة على توظيف أشخاص. عدم القدرة على توظيف أشخاص هو أمر اليوم؛ وعدم وجود موظفين مبتدئين يعني أنك لن تستطيع توظيف أشخاص في المستقبل أيضًا.

كما توفر تقرير "تطور قطاع مواهب الأمن السيبراني في عصر الذكاء الاصطناعي" في الصين مجموعة من البيانات: في عام 2025، كان 46.2% من المهنيين المشاركين في الاستطلاع يحصلون على راتب سنوي قبل الخصم يتراوح بين 200,000 و300,000 يوان. إن السوق مستعدة لدفع الأموال للمواهب الأساسية، لأن الأشخاص القادرين حقًا على التعامل مع التهديدات المعقدة واتخاذ قرارات أثناء الحوادث نادرون جدًا. كما يُظهر التقرير أن 56.5% من المهنيين أفادوا أن الذكاء الاصطناعي سمح لهم بتركيز جهودهم بشكل أكبر على تحليل التهديدات المعقدة، بينما أفاد 33.0% بأنهم ينتقلون من المستوى التنفيذي إلى صياغة الاستراتيجيات.

This point is crucial.

ما ننقصه الآن هو الشخص الذي يستطيع في منتصف الليل فهم ثغرة، وتقييم مدى تأثيرها، وتنسيق العمليات مع الأطراف المعنية، وكتابة تصحيح لها. الأمن لا يعتمد أبداً على لحظات إلهام، بل هو عمل شاق ومتعب. إذا فككت كلمة "الأمن السيبراني"، ستجد داخلها فقط إشارات خاطئة، وتحمل اللوم، وتصحيحات لا تنتهي، واجتماعات لا تنتهي، بالإضافة إلى ذلك المكالمة التي تستيقظك في الثالثة صباحاً.

كتب كامو رواية بعنوان "الطاعون".

تدور الأحداث في مدينة صغيرة عادية في شمال إفريقيا. فجأة، اندلع الوباء، وأُغلقت بوابات المدينة، فحبس الجميع داخلها. تفككت الحياة اليومية بين ليلة وضحاها. في البداية، أصاب الناس الذعر، ثم أصيبوا بالخدر، ثم اعتادوا. حتى عندما انسحب الوباء أخيرًا، وفتحت بوابات المدينة مجددًا، عادت الضحكات والمرح إلى الشوارع.

في نهاية الرواية، قال كامو: "وفقًا للسجلات الطبية، لا تموت بكتيريا الطاعون أبدًا ولا تختفي؛ فهي قادرة على البقاء لعقود في الأثاث والملابس والبطانيات، وانتظار بصبر في الغرف والخلوات والحقائب والسجاجيد والأوراق المهدومة. ربما في يوم ما، ستستيقظ الطاعون مجددًا لتنشر قطعانها في مدينة سعيدة ما، لتُصيب الناس بالكوارث مرة أخرى وتجبرهم على استخلاص الدروس من جديد."

لطالما شعرت أن هذه الجملة مناسبة جدًا لوصف ثغرات الشبكة.

لم تُخلق في اليوم الذي اُكتشفت فيه. لقد كانت مُستلقية في الكود منذ زمن طويل، ولم يسمع أحد تنفسها من قبل، فخلطنا الصمت بالأمان.

الروتين الذي اعتدنا عليه حتى لم نعد نشك فيه، كلّه يجري على الشيفرة. هناك ديون قديمة في الشيفرة، ولم تكن هذه الديون العتيقة مُلِحّة للسداد لأن عدد المطالبين بها كان قليلاً. لكن مع قدوم الذكاء الاصطناعي، ازداد عدد المطالبين فجأة.

ما هو مخيف ليس فقط زيادة عدد القراصنة. على الجانب الآخر من النظام، لم يزد عدد الأشخاص الذين يعالجون المشكلات بنفس النسبة.

هذا هو أكثر ما يُعاني منه عصر الأمان الذكي. فالقدرة تنتشر ذاتياً، بينما لا تنتشر المسؤولية؛ اكتشاف ثغرة أصبح أرخص بكثير، لكن إصلاحها لا يزال بنفس التكلفة العالية كما في السابق. يمكن نسخ التدمير عبر البرامج مرات لا تحصى، لكن الثقة لا تُبنى إلا تدريجياً، نظاماً تلو الآخر وفريقاً تلو الآخر.

لن يدمر الذكاء الاصطناعي الإنترنت بين ليلة وضحاها. ما يفعله أشبه بإضاءة المصباح. نحن أخيرًا نرى أن الحياة الرقمية لم تكن أبدًا نظامًا طبيعيًا يعمل تلقائيًا، بل هي مجموعة من الأشخاص الذين يخفضون المخاطر يومًا بعد يوم حتى تصبح غير محسوسة بالنسبة لنا.

ما سيكون باهظًا حقًا في المستقبل، ليس العثور على الثغرات، بل ما إذا كان هناك ما يكفي من الأشخاص الذين يرغبون في إصلاح هذه الثغرات واحدة تلو الأخرى.