🥇 أعلنت شركة أنثروبيك عن إطلاق كلود ميثوس، وهو نموذج ذكاء اصطناعي قادر على إنشاء ثغرات فعّالة

أعلنت شركة أنثروبيك عن مشروع "غلاس وينغ"، الذي سيوفر إمكانية الوصول إلى نسخة أولية من نموذج الذكاء الاصطناعي "كلود ميثوس" بهدف تحديد الثغرات الأمنية وتحسين أمان البرامج الحيوية. ويضم المشروع جهات مشاركة مثل مؤسسة لينكس، وخدمات أمازون السحابية، وآبل، وبرودكوم، وسيسكو، وكراود سترايك، وجوجل، وجيه بي مورغان تشيس، ومايكروسوفت، وإنفيديا، وشبكات بالو ألتو. كما تلقت نحو 40 منظمة أخرى دعوات للمشاركة.

حقق نموذج الذكاء الاصطناعي Claude Opus 4.6، الذي صدر في فبراير، مستويات أداء جديدة في مجالات مثل اكتشاف الثغرات الأمنية، واكتشاف الأخطاء وإصلاحها، ومراجعة التغييرات، وتوليد التعليمات البرمجية. وقد أتاحت التجارب التي أُجريت على هذا النموذج تحديد أكثر من 500 ثغرة أمنية في مشاريع مفتوحة المصدر، وتوليد مُصرّف لغة C قادر على بناء نواة لينكس. مع ذلك، كان أداء Claude Opus 4.6 ضعيفًا في إنشاء ثغرات فعّالة قابلة للاستغلال.

بحسب شركة أنثروبيك، يتفوق نموذج "كلود ميثوس" من الجيل التالي بشكل ملحوظ على نموذج كلود أوبوس 4.6 في إنتاج ثغرات جاهزة للاستخدام. فمن بين مئات المحاولات لإنشاء ثغرات لاستغلال نقاط الضعف المحددة في محرك جافا سكريبت الخاص بمتصفح فايرفوكس، لم تنجح سوى محاولتان باستخدام كلود أوبوس 4.6. وعند تكرار التجربة باستخدام نسخة أولية من نموذج ميثوس، تم إنشاء ثغرات فعالة 181 مرة، أي أن معدل النجاح ارتفع من شبه معدوم إلى 72.4%.

أعلنت شركة أنثروبيك عن كلود ميثوس، وهو نموذج ذكاء اصطناعي قادر على إنشاء ثغرات استغلال فعالة.

علاوة على ذلك، يُوسّع برنامج كلود ميثوس بشكلٍ ملحوظ قدراته على اكتشاف الثغرات الأمنية والأخطاء. هذا، إلى جانب ملاءمته لتطوير برامج الاستغلال، يُشكّل مخاطر جديدة على القطاع: إذ يُمكن لغير المتخصصين استغلال الثغرات الأمنية غير المُعالجة في غضون ساعات. تجدر الإشارة إلى أن قدرات ميثوس في اكتشاف الثغرات الأمنية واستغلالها قد وصلت إلى مستويات احترافية، ولا ينقصها سوى خبرة أكثر المتخصصين خبرة.

بما أن إتاحة الوصول غير المقيد إلى نموذج ذكاء اصطناعي بهذه القدرات يتطلب استعدادًا من القطاع، فقد تقرر في البداية إتاحة نسخة تجريبية لمجموعة مختارة من الخبراء لإجراء عمليات تحديد الثغرات الأمنية ومعالجتها في منتجات البرمجيات الحيوية والبرمجيات مفتوحة المصدر. ولتمويل هذه المبادرة، تم تخصيص دعم رمزي بقيمة 100 مليون دولار، وسيتم التبرع بمبلغ 4 ملايين دولار للمنظمات التي تدعم أمن مشاريع البرمجيات مفتوحة المصدر.

في اختبار CyberGym المعياري، الذي يقيّم قدرات النماذج على اكتشاف الثغرات الأمنية، حقق نموذج Mythos نسبة 83.1%، بينما حقق نموذج Opus 4.6 نسبة 66.6%. أما في اختبارات جودة الكود، فقد أظهرت النماذج الأداء التالي:

اختبارميثوسأبوس 4.6 SWE-bench Pro 77.8% 53.4% Terminal-Bench 2.0 82.0% 65.4% SWE-bench Multimodal 59% 27.1% SWE-bench Multilingual 87.3% 77.8% SWE-bench Verified 93.9% 80.8%

خلال التجربة، تمكنت شركة أنثروبيك، باستخدام نموذج الذكاء الاصطناعي ميثوس، من تحديد آلاف الثغرات الأمنية غير المعروفة سابقًا (ثغرات اليوم الصفر) في غضون أسابيع قليلة، وكان العديد منها مصنفًا على أنه حرج. ومن بين هذه الثغرات، اكتشفوا ثغرة أمنية في حزمة بروتوكول TCP الخاصة بنظام OpenBSD ظلت غير مكتشفة لمدة 27 عامًا، مما سمح بتعطل النظام عن بُعد. كما اكتشفوا ثغرة أمنية عمرها 16 عامًا في تطبيق مشروع FFmpeg لبرنامج الترميز H.264، بالإضافة إلى ثغرات أمنية في برنامجي الترميز H.265 وav1، والتي تم استغلالها عند معالجة محتوى مُصمم خصيصًا.

تم اكتشاف العديد من الثغرات الأمنية في نواة لينكس، والتي قد تسمح لمستخدم غير مخوّل بالحصول على صلاحيات الجذر. وقد أتاح ربط هذه الثغرات معًا إنشاء برامج استغلالية تُمكّن من الحصول على صلاحيات الجذر عن طريق فتح صفحات خاصة في متصفح الويب. كما تم إنشاء برنامج استغلالي آخر يسمح بتنفيذ التعليمات البرمجية بصلاحيات الجذر عن طريق إرسال حزم بيانات مُصممة خصيصًا إلى خادم NFS الخاص بنظام FreeBSD.

تم اكتشاف ثغرة أمنية في نظام محاكاة افتراضية مكتوب بلغة توفر أدوات آمنة لإدارة الذاكرة. تسمح هذه الثغرة بتنفيذ تعليمات برمجية على جانب المضيف من خلال التلاعب بنظام الضيف (لم يُذكر اسم الثغرة لعدم إصلاحها بعد، ولكن يبدو أنها موجودة في جزء غير آمن من كود Rust). وقد تم العثور على ثغرات أمنية في جميع متصفحات الويب ومكتبات التشفير الشائعة. كما تم تحديد ثغرات حقن SQL في العديد من تطبيقات الويب.

المصدر: opennet.ru