الذكاء الاصطناعي يغير قواعد الأمن الرقمي بعد اكتشاف 21 ثغرة في مكتبة FFmpeg، تزامناً مع إطلاق جوجل لأضخم تحديث أمني لمتصفح كروم حتى الآن.
كيف اكتشف الذكاء الاصطناعي ثغرات عمرها 20 عاماً؟
شهد الأسبوع الماضي تحولاً جذرياً في مشهد الأمن السيبراني، حيث تم الكشف عن قدرات مذهلة لعملاء الذكاء الاصطناعي في تحليل الأكواد البرمجية المعقدة. تمكن عميل آلي تابع لشركة أمنية ناشئة من فحص حوالي 1.5 مليون سطر من الأكواد في مكتبة الوسائط الشهيرة FFmpeg.
وفقاً لما تابعه فريق تيكبامين، أسفرت عملية الفحص عن اكتشاف 21 ثغرة أمنية من نوع "Zero-day" لم تكن معروفة مسبقاً، والمفاجأة كانت في عمر بعض هذه الثغرات، حيث تبين أن:
- إحدى الثغرات كانت كامنة في الأكواد منذ عام 2003 (أي ما يقرب من 23 عاماً).
- العديد من الثغرات الأخرى ظلت غير مكتشفة لفترة تتراوح بين 15 إلى 20 عاماً.
- تكلفة عملية الفحص البرمجي بالكامل لم تتجاوز 1000 دولار أمريكي فقط.
تعتبر مكتبة FFmpeg العمود الفقري لمعالجة الفيديو في معظم التطبيقات والمنصات العالمية، مما يجعل اكتشاف هذه الثغرات وتصحيحها خطوة بالغة الأهمية لحماية ملايين المستخدمين حول العالم.
تفاصيل الثغرات المكتشفة في FFmpeg
تركزت معظم المشاكل الأمنية المكتشفة في مكونات الحماية ومعالجة البيانات، وشملت قائمة الأعطال التقنية ما يلي:
- تجاوز سعة المخزن المؤقت (Heap and Stack Overflows) في برامج التحليل.
- ثغرات في مكونات TS demuxer و VP9 decoder.
- تسع ثغرات حصلت بالفعل على معرفات CVE رسمية (من CVE-2026-39210 إلى CVE-2026-39218).
جوجل كروم يسجل رقماً قياسياً في تصحيح الثغرات الأمنية
بالتزامن مع أخبار FFmpeg، أطلقت شركة جوجل إصدار Chrome 149، والذي سجل رقماً قياسياً كأكبر تحديث أمني في تاريخ المتصفح. تضمن التحديث معالجة 429 ثغرة أمنية، وهو أكبر عدد من الإصلاحات يتم شحنه في إصدار واحد على الإطلاق.
حسب تقرير تيكبامين، فإن أكثر من 100 من هذه الثغرات تم تصنيفها على أنها "خطيرة" أو "عالية الخطورة"، وكان أبرزها:
- الثغرة CVE-2026-10881: بمستوى خطورة 9.6، وتتعلق بمحرك الرسوميات ANGLE.
- تسمح هذه الثغرة للمهاجم بالهروب من وضع "Sandbox" الآمن وتشغيل أكواد برمجية على جهاز الضحية.
- دفعت جوجل مكافأة قدرها 97,000 دولار للباحث الذي اكتشف هذه الثغرة الخطيرة.
لماذا قامت جوجل بتحديث برنامج المكافآت؟
رغم أن معظم ثغرات كروم الأخيرة اكتُشفت داخلياً بواسطة فرق جوجل، إلا أن الشركة اضطرت لإعادة هيكلة برنامج مكافآت الثغرات الخاص بها. جاءت هذه الخطوة بسبب تدفق التقارير الناتجة عن أدوات الذكاء الاصطناعي، والتي غالباً ما تكون طويلة جداً وغير دقيقة.
تطلب جوجل الآن من الباحثين تقديم نماذج تجريبية (PoC) مختصرة وواضحة، بدلاً من التقارير الضخمة التي يتم إنشاؤها آلياً، وذلك لضمان سرعة التعامل مع التهديدات الحقيقية وتقليل "الضجيج" البرمجي.
هل أصبح الذكاء الاصطناعي حلاً للأمن الرقمي؟
تشير الدراسات والنتائج الأخيرة إلى أننا ندخل عصراً جديداً من الأمن الرقمي؛ فبينما استخدمت جوجل عملاء مثل "Big Sleep" وAnthropic نماذج مثل "Mythos" لاكتشاف عيوب برمجية قديمة، بدأت الأدوات المستقلة في العثور على ثغرات في أنظمة شهيرة مثل Redis كانت موجودة منذ سنوات دون أن يلاحظها أحد.
في الختام، يظهر لنا هذا التطور أن الذكاء الاصطناعي سلاح ذو حدين؛ فهو يضع ضغطاً هائلاً على المطورين لمواكبة سرعة اكتشاف الثغرات، ولكنه في الوقت نفسه يوفر وسيلة منخفضة التكلفة وفعالة جداً لتطهير الإنترنت من الأخطاء البرمجية التي هددت خصوصية البيانات لعقود.
