أعلنت شركة أنثروبيك عن النتائج الأولية لاختبار النسخة التجريبية من نموذج الذكاء الاصطناعي "ميثوس"، الذي يُوسّع بشكل كبير قدراته في اكتشاف الأخطاء وتحديد الثغرات الأمنية وكتابة برامج استغلال جاهزة. وباستخدام نموذج "ميثوس"، فحصت أنثروبيك أكثر من ألف مشروع مفتوح المصدر هام، وحددت 23019 ثغرة أمنية، منها 6202 ثغرة مصنفة على أنها عالية الخطورة أو حرجة.
من بين 6202 ثغرة أمنية صنّفها نموذج الذكاء الاصطناعي "ميثوس" على أنها خطيرة، تم التحقق من 1752 ثغرة منها بواسطة باحثين أمنيين مستقلين. وفي 1587 حالة (90.6%)، تم تأكيد وجود الثغرة، بينما في 1094 حالة (62.4%)، ظل مستوى خطورتها مرتفعًا أو حرجًا. ونظرًا لمعدل الإنذارات الكاذبة الحالي، فمن المتوقع أن يحتفظ ما يقارب 3900 ثغرة (62.4%) من أصل 6202 ثغرة خطيرة حددها نموذج الذكاء الاصطناعي بتصنيف الخطورة المرتفع للنموذج، وذلك باستثناء الثغرات الخطيرة التي حددها 50 مشاركًا في مشروع "غلاسوينغ" بشكل منفصل.
قام ممثلو الشركات المُراجعة بمشاركة معلومات حول 467 ثغرة أمنية مُثبتة مع القائمين على صيانة مشاريع المصادر المفتوحة. وبناءً على طلبات منفصلة، شارك موظفو شركة أنثروبيك معلومات مباشرة حول 1129 مشكلة غير مُثبتة مع القائمين على الصيانة. في المجمل، تلقى القائمون على صيانة 281 مشروعًا من مشاريع المصادر المفتوحة معلومات حول 1596 مشكلة، وأكدوا وجود 1451 ثغرة أمنية. مع ذلك، لم يتم إصلاح سوى 97 مشكلة في قواعد البيانات حتى الآن، وتم إصدار 88 تقريرًا عامًا عن الثغرات الأمنية.
علاوة على ذلك، أفاد 50 مشاركًا في مشروع Glasswing، ممن مُنحوا وصولًا مبكرًا إلى نموذج Mythos، أنهم حددوا أكثر من 10,000 ثغرة أمنية خطيرة في قواعد بياناتهم البرمجية. فعلى سبيل المثال، عثرت Cloudflare على أكثر من 2000 خطأ باستخدام Mythos، صُنّف 400 منها على أنها عالية الخطورة وحرجة. وكان معدل الإنذارات الكاذبة لدى Cloudflare أقل من معدل الإنذارات الكاذبة في الاختبارات البشرية. أما Mozilla، فعند اختبارها لمتصفح Firefox 150، عثرت على 271 ثغرة أمنية باستخدام Mythos، أي ما يزيد عشرة أضعاف عن العدد الذي عُثر عليه عند اختبار Firefox 148 باستخدام نموذج Claude Opus 4.6.
فيما يلي مثال على مشكلة حرجة تم حلها بالفعل:
ثغرة أمنية (CVE-2026-5194) في مكتبة التشفير wolfSSL. تمكن ميثوس من إعداد برنامج استغلال يسمح للمهاجم بإنشاء شهادة ECDSA مزيفة لمواقع الويب وحسابات البريد الإلكتروني. الخوادمتمت معالجة الشهادة على أنها صالحة عند التحقق منها بواسطة مكتبة wolfSSL. وكانت المشكلة ناتجة عن عدم وجود فحص لحجم التجزئة ومعرّف الكائن (OID) في الكود، مما سمح بتحديد حجم تجزئة أصغر من المسموح به في الشهادة.
المصدر: opennet.ru
