ثغرات فايرفوكس التي كشفها كلود أوبس 4.6 تشمل 22 مشكلة أمنية وتم إصلاحها في تحديث Firefox 148 نهاية الشهر وفق منهج ذكاء اصطناعي متقدم.
ما قصة ثغرات فايرفوكس التي اكتشفتها أنثروبيك؟
أعلنت أنثروبيك أن شراكتها الأمنية مع موزيلا قادتها لاكتشاف 22 ثغرة جديدة في متصفح فايرفوكس خلال يناير 2026. هذه النتائج أُغلقت سريعاً عبر تحديث Firefox 148 الذي صدر في نهاية الشهر الماضي. ووفق تيكبامين، فإن سرعة الإبلاغ والإصلاح عكست تعاونًا مباشرًا بين الباحثين وفريق المتصفح.
كيف تم الاكتشاف خلال أسبوعين؟
اعتمد الفريق على نموذج Claude Opus 4.6 لمسح أجزاء واسعة من قاعدة الكود المكتوبة بلغة C++. خلال أسبوعين تم جمع تقارير أولية كثيرة ثم فرزها يدويًا للتأكد من صحتها. التركيز كان على تقليل الإنذارات الكاذبة قبل تقديم البلاغات الرسمية.
- المدة الزمنية للفحص: أسبوعان في يناير 2026
- الملفات التي تم مسحها: قرابة 6000 ملف C++
- عدد التقارير الإجمالي: 112 بلاغًا فريدًا
- تصنيف الخطورة: 14 عالية، 7 متوسطة، 1 منخفضة
لماذا تُعد ثغرات فايرفوكس عالية الخطورة مهمة؟
أهمية هذه النتائج لا تتعلق بالعدد فقط، بل بنوع الثغرات وتأثيرها على استقرار المتصفح. أنثروبيك قالت إن الثغرات عالية الخطورة التي رصدها النموذج تمثل تقريبًا خمس الثغرات الحرجة التي أصلحت في فايرفوكس خلال 2025. لذلك يسلط التقرير الضوء على قيمة الفحص المدعوم بالذكاء الاصطناعي.
مثال تقني على خطأ الذاكرة
من الأمثلة ثغرة use-after-free في محرك جافاسكريبت اكتشفها النموذج بعد 20 دقيقة من الاستكشاف. الباحثون البشر قاموا بتأكيدها داخل بيئة افتراضية لضمان أنها ليست قراءة خاطئة. هذه الخطوة عززت موثوقية النتائج قبل دمج الإصلاح.
- نوع الخطأ: use-after-free في JavaScript
- زمن الاكتشاف الأولي: نحو 20 دقيقة
- أسلوب التحقق: مراجعة بشرية داخل بيئة افتراضية
هل يستطيع الذكاء الاصطناعي تحويل الثغرات إلى استغلال؟
في المرحلة التالية، زوّدت أنثروبيك نموذجها بقائمة الثغرات المرسلة إلى موزيلا وطلبت منه بناء استغلال عملي. رغم تنفيذ التجربة مئات المرات وصرف نحو 4000 دولار من أرصدة API، نجح النموذج في حالتين فقط. النتيجة تُظهر أن اكتشاف الثغرات أسهل من تحويلها إلى استغلال كامل.
ورغم ذلك، أكدت الشركة أن نجاح النموذج في إنشاء استغلالات أولية يظل مقلقًا حتى لو كان بدائيًا. الاستغلالات نجحت فقط داخل بيئة اختبار جُرّدت من بعض آليات الحماية مثل العزل. كما أُضيف مُتحقق مهام يمنح النموذج تغذية راجعة لحظية ليعيد المحاولة حتى ينجح.
تفاصيل ثغرة CVE-2026-2796
- المعرف: CVE-2026-2796
- درجة CVSS: 9.8
- الوصف: خطأ JIT miscompilation في JavaScript WebAssembly
- التأثير المحتمل: تنفيذ كود عن بُعد ضمن سيناريوهات محددة
ما الذي يعنيه ذلك لمستقبل أمان المتصفحات؟
هذه النتائج تفتح نقاشًا حول دور الذكاء الاصطناعي في أمن المتصفحات. من جهة، يمكن للفرق الأمنية تسريع الفحص والاستجابة، ومن جهة أخرى تزداد المخاطر إذا أسيء استخدام الأدوات. المتصفح يبقى هدفًا جذابًا بسبب اتصاله المباشر بالويب وملفات المستخدم.
لذلك ينصح الخبراء بتحديث المتصفح فور صدور أي تصحيحات ومتابعة تنبيهات موزيلا. ومع ارتفاع وتيرة البحث الآلي، تصبح إدارة ثغرات فايرفوكس أولوية دائمة للمستخدمين والشركات، كما يؤكد تيكبامين.
