نظرة على تأثير Mythos ضمن تطوير Firefox

عندما كشفت Anthropic عن نموذجها الجديد Mythos في أبريل، أطلقت أيضًا تحذيرًا شديد اللهجة لكل من يطوّر البرمجيات. فقد ادّعى المختبر أن النموذج أصبح قويًا للغاية في اكتشاف الثغرات البرمجية، لدرجة أنه عثر على آلاف الثغرات عالية الخطورة التي كان لا بد من إصلاحها قبل إتاحته للعامة.
والآن، يقدّم باحثو الأمن في متصفح Firefox التابع لـ Mozilla نظرة أقرب إلى ما بدا عليه هذا الأمر عمليًا، وما الذي تعنيه قدرات Mythos لمستقبل أمن البرمجيات عمومًا.
في منشور نُشر يوم الخميس، قالت Mozilla إن Mythos اكتشف عددًا هائلًا من الثغرات عالية الخطورة، من بينها ثغرات ظلت كامنة داخل الشيفرة البرمجية لأكثر من عقد كامل.
ويمثل ذلك تحسنًا هائلًا مقارنة بما كانت أدوات الذكاء الاصطناعي الخاصة بالأمن السيبراني قادرة على فعله حتى قبل ستة أشهر فقط. فحتى الآن، كانت أدوات اكتشاف الأخطاء المعتمدة على الذكاء الاصطناعي تعاني من عيوب كبيرة، وغالبًا ما كانت تغرق فرق الأمن بتقارير منخفضة الجودة وإنذارات كاذبة. لكن باحثي Mozilla يقولون إن الجيل الجديد من هذه الأدوات تجاوز تلك المرحلة، خصوصًا بعد أن أصبحت الأنظمة الوكيلة Agentic Systems قادرة على تقييم عملها بنفسها وتصفيّة النتائج السيئة.
وكتب الباحثون:
“من الصعب المبالغة في وصف حجم التغيير الذي حدث لنا خلال بضعة أشهر قصيرة. أولًا، أصبحت النماذج أكثر قدرة بكثير. ثانيًا، حسّنّا بشكل جذري تقنياتنا في الاستفادة من هذه النماذج.”
النتائج كانت لافتة للغاية: ففي أبريل 2026، أطلق Firefox تحديثات تضمنت إصلاح 423 خطأ برمجيًا، مقارنة بـ31 إصلاحًا فقط في الشهر نفسه قبل عام واحد. كما نشر الباحثون تفاصيل 12 ثغرة، تراوحت بين ثغرات غير اعتيادية في نظام العزل الأمني Sandbox، إلى خطأ عمره 15 عامًا في طريقة معالجة المتصفح لأحد عناصر HTML.
وقال Brian Grinstead، وهو مهندس بارز في Mozilla، لموقع TechCrunch:
“هذه الأشياء أصبحت فجأة جيدة جدًا فعلًا. نرى ذلك في عمليات الفحص الداخلية لدينا، ونراه في تقارير الثغرات الخارجية، ونراه في مختلف المؤشرات عبر الصناعة.”
ويُعد اكتشاف ثغرات داخل نظام “Sandbox” الخاص بـ Firefox أمرًا مثيرًا للإعجاب بشكل خاص، نظرًا لتعقيد الهجمات المطلوبة لاستغلال هذا النوع من الثغرات. فلكي يعثر النموذج على ثغرات Sandbox، يجب عليه كتابة تعديل برمجي مخترق للمتصفح، ثم مهاجمة أكثر أجزاء البرنامج أمانًا باستخدام الشيفرة الجديدة. واكتشاف الثغرة وإثباتها عملية دقيقة متعددة الخطوات، تتطلب الإبداع والانتباه الشديد للتفاصيل.
ولتوضيح أهمية الأمر، فإن برنامج مكافآت الثغرات التابع لـ Mozilla يدفع للباحثين الذين يعثرون على ثغرة في Sandbox الخاص بـ Firefox ما يصل إلى 20 ألف دولار، وهي أعلى مكافأة متاحة لديهم. ورغم هذا المبلغ الكبير، يقول Grinstead إن Mythos يعثر على مشاكل Sandbox أكثر مما كان يكتشفه الباحثون البشر على الإطلاق.
وقال لـ TechCrunch:
“نحن نحصل فعلًا على مثل هذه الاكتشافات، لكن ليس بالحجم الذي نستطيع الوصول إليه باستخدام هذه التقنية.”
ومن اللافت أن فريق Firefox لا يزال لا يستخدم الذكاء الاصطناعي لإصلاح الثغرات، رغم التقدم الكبير الموثق في أدوات البرمجة المعتمدة على الذكاء الاصطناعي. فالفريق يطلب من الذكاء الاصطناعي كتابة تصحيحات Patch لكل ثغرة، لكن الشيفرات الناتجة غالبًا لا يمكن نشرها مباشرة، بل تُستخدم كنموذج أولي يستند إليه المهندس البشري.
ويقول Grinstead:
“بالنسبة للثغرات التي نتحدث عنها في هذا المنشور، كل واحدة منها تتضمن مهندسًا يكتب التصحيح ومهندسًا آخر يراجعه. لم نجد أن الأمر قابل للأتمتة حتى الآن.”
ولا يزال من غير الواضح كيف ستغيّر القدرات الجديدة للذكاء الاصطناعي ميزان القوى في مجال الأمن السيبراني على نطاق أوسع. فبعد شهر واحد فقط من استعراض Mythos، من المحتمل أن معظم الثغرات المكتشفة لم تُصلح بعد، مما يجعل من الصعب تقييم حجم التأثير الحقيقي.
وقد التزمت Anthropic بدقة بقواعد الإفصاح المسؤول عن الثغرات، لكن من المرجح أن جهات خبيثة تستخدم تقنيات مشابهة خلف الكواليس، حتى لو كانت النماذج التي تستخدمها أقل كفاءة.
وخلال فعالية حديثة، بدا Dario Amodei، الرئيس التنفيذي لـ Anthropic، متفائلًا بأن هذه الأدوات الجديدة ستصب في النهاية لصالح المدافعين عن الأنظمة.
وقال:
“إذا تعاملنا مع هذا بالشكل الصحيح، فقد نجد أنفسنا في وضع أفضل مما بدأنا به، لأننا أصلحنا كل هذه الثغرات. هناك عدد محدود فقط من الأخطاء التي يمكن اكتشافها. لذلك أعتقد أن هناك عالمًا أفضل على الجانب الآخر من هذا التطور.”
أما Grinstead، الذي تعامل مع التفاصيل التقنية القاسية مباشرة، فكان أكثر تحفظًا في تقييمه:
“الأداة مفيدة لكل من المهاجمين والمدافعين، لكن توفرها يمنح أفضلية بسيطة للدفاع. بصراحة، لا أحد يعرف الإجابة النهائية بعد.”
المصدر