الثغرة من الكشف إلى الهجوم تستغرق فقط 4 ساعات، عمود بلومبرج يحذر: انتهى عصر "الإفصاح المسؤول" في Mythos

تقدير رأي بلومبرج في مجال التكنولوجيا الكاتب بارمي أولسون يسلط الضوء على نموذج أنثروبيك الأقوى Mythos، كمدخل، كاشفًا عن أزمة أمنية أعمق: مدة اكتشاف الثغرات البرمجية من الإعلان عنها إلى أن تصبح قابلة للاستغلال، قد تم تقليصها من متوسط 771 يومًا في 2018 إلى أقل من 4 ساعات. أشارت في عمودها إلى أن المشكلة الحقيقية ليست في قدرة البنوك على الدفاع — فهم يملكون المال والأشخاص، ويمكنهم الصمود — بل في أن الشركات الصغيرة والمتوسطة، في عصر هجمات الوكيل المدفوعة بالذكاء الاصطناعي، بلا دفاعات، وأن نموذج الكشف المسؤول الذي استمر لسنوات، قد أعلن فعليًا وفاته.
(مقدمة: معهد أبحاث أمان الذكاء الاصطناعي البريطاني يقيم Claude Mythos: هل يمكن للذكاء الاصطناعي الأقوى أن ينهي قراصنة العملات المشفرة؟)
(معلومات إضافية: Coinbase وBinance يسعيان للوصول إلى نموذج Claude Mythos لتعزيز الأمن، هل يمكن لأقوى ذكاء اصطناعي أن ينهي قراصنة العملات المشفرة؟)

فهرس المقال

تبديل

• مكالمة من وزير المالية، وتأكيد من الوسيط الأكثر حيادية
• المشكلة ليست في البنوك الكبرى
• وفاة الكشف المسؤول
• Mythos يمكنه القيام بما يفعله نخبة القراصنة البشريين
• استنتاج أولسون المزدوج: أنثروبيك لديها دوافع خاصة، لكن المشكلة حقيقية

771 يومًا، تم تقليصها إلى 4 ساعات. وفقًا لبيانات zerodayclock.com، فإن متوسط الوقت من الكشف عن الثغرة إلى أن يتم استغلالها من قبل المهاجمين، كان في 2018 هو 771 يومًا، والآن أقل من 4 ساعات. هذا يمثل ضغطًا يزيد عن 4600 مرة — وهو الرقم الذي اختارته كاتبة عمود التكنولوجيا في بلومبرج رأي، بارمي أولسون، كمقدمة صادمة في مقالها الأخير.

بدأت أولسون عمودها من نموذج Mythos الأحدث من أنثروبيك، لكنها أوضحت بوضوح أن Mythos هو مجرد عرض للأعراض، وليس سبب المشكلة. ترى أن الارتفاع الحقيقي في قدرات الذكاء الاصطناعي هو الذي أيقظ الجميع، وليس البنوك فقط، بل جميع المؤسسات التي تعتمد على الأنظمة الرقمية — بما في ذلك غالبية الشركات الصغيرة والمتوسطة التي لا تدرك هشاشتها.

مكالمة من وزير المالية، وتأكيد من الوسيط الأكثر حيادية

بعد أيام من إصدار Mythos، دعا وزير المالية الأمريكي سكوت بيسنت قادة وول ستريت لتأكيد وضع أنظمة الحماية. لاحظت أولسون أن هذا التحرك خلق “دعاية لا تقدر بثمن” لأنثروبيك، وأثار في الوقت ذاته تساؤلات من قبل الآخرين: “من يمكنه أن يطلع حصريًا على تهديداته المستقبلية؟”

وفي عمودها، أشارت أولسون إلى أن معهد أبحاث أمان الذكاء الاصطناعي البريطاني (AISI) حصل على إذن للوصول إلى Mythos. وصفت المعهد بأنه “أعلى وسيط حيادي عالمي لما يعتبر آمنًا وموثوقًا في الذكاء الاصطناعي”، وأشارت إلى أن تقييمه أكد أن بعض الدعاية حول Mythos كانت مبررة.

وجدت AISI أن أداء Mythos في مهام الهجمات المعقدة على الشبكات يتفوق على ChatGPT من OpenAI وGoogle Gemini. لكنها حذرت من أن أحد القيود الأساسية هو أن Mythos يكون أكثر خطورة على الأنظمة “ضعيفة الدفاع” أو “المبسطة”.

هذا الشرط هو نقطة التحول في مقال أولسون بأكمله.

المشكلة ليست في البنوك الكبرى

كتبت أولسون أن البنوك الكبرى تمتلك أقوى بنية تحتية أمنية تكنولوجية على مستوى العالم. وعلى الرغم من أن دعوة بيسنت لقادة وول ستريت كانت لافتة، إلا أنها ترى أن الضعف الحقيقي ليس في JPMorgan أو Goldman Sachs، بل في “الطيف الأوسع من الشركات الصغيرة والمتوسطة”.

هذه الشركات الصغيرة والمتوسطة هي ساحة المعركة الرئيسية التي يستخدم فيها القراصنة أدوات الذكاء الاصطناعي للهجوم.

وفاة نموذج الكشف المسؤول

لفهم سبب هذا الوضع الملح، استعرضت أولسون في عمودها نموذج “الكشف المسؤول” الذي استمر لسنوات: بعد اكتشاف الباحثين عن الثغرات، يتم إبلاغ الشركات، ثم يتم الكشف عنها علنًا، ليتمكن المستخدمون من تصحيحها، ويشاهد القراصنة التفاصيل.

نموذج Patch Tuesday الخاص بمايكروسوفت هو مثال نموذجي على ذلك — حيث يتم إصدار تحديثات أمنية شهريًا. تحتاج فرق تكنولوجيا المعلومات في بنوك مثل Barclays وWells Fargo إلى اختبار التصحيحات، والحصول على موافقة الإدارة، وتنفيذها، وغالبًا ما يستغرق ذلك أسابيع أو شهور.

وأشارت أولسون إلى أنه قبل ظهور الذكاء الاصطناعي التوليدي، كان هذا النموذج يعمل بشكل جيد — لأن القراصنة كانوا يحتاجون وقتًا طويلًا لاستنتاج طرق الهجوم من تفاصيل الثغرات. لكن، قبل عامين، تغيرت الأمور، حيث يمكن للقراصنة ببساطة أن يضعوا تفاصيل الثغرات في ChatGPT، ليقوم بمسح أنماط الثغرات المشابهة على GitHub، وتوليد أدوات هجوم بشكل فوري تقريبًا.

تقلصت مدة 771 يومًا إلى 4 ساعات، والمعنى وراء هذا الرقم هو أن منطق Patch Tuesday قد فقد فعاليته. وأكدت أولسون في عمودها: “هل يعتبر الكشف المسؤول فكرة ذكية في المقام الأول؟” و"هل عملية تصحيح الثغرات على مدى أسابيع وشهور أصبحت بلا جدوى الآن؟"

Mythos يمكنه القيام بما يفعله نخبة القراصنة البشريين

كتبت أولسون أن خطورة Mythos تكمن في قدرته على “ربط” الثغرات البرمجية، وتنفيذ هجمات متعددة الخطوات — وهو مهارة كانت تتطلب سابقًا خبرة عالية من قبل قراصنة محترفين.

وهي تستخدم تشبيه اللص: “مثلما يخطط اللص سلسلة من خطوات الاختراق — يجد النافذة المفتوحة، ويفتح الباب من الداخل، ويعطل الإنذار. كل خطوة بمفردها غير كافية، لكن معًا يمكنه الدخول بالكامل.”

هذه القدرة تصبح أكثر خطورة مع ظهور الذكاء الاصطناعي الوكيل (agentic AI). أشارت أولسون إلى أن شركات الذكاء الاصطناعي أضافت مؤخرًا قدرات وكيلة لنماذجها، مما يسمح لها باتخاذ إجراءات مستقلة. وأطلقت أنثروبيك في يناير من هذا العام Claude Cowork، الذي يمكنه إرسال رسائل إلكترونية، وتنظيم جداول الأعمال تلقائيًا. بالنسبة للقراصنة، أدوات الوكيل لن تكتفي فقط بالبحث عن الثغرات، بل ستقوم بمحاولة استغلالها تلقائيًا، حتى تنجح.

استنتاج أولسون المزدوج: أنثروبيك لديها دوافع خاصة، لكن المشكلة حقيقية

في نهاية عمودها، لم تتجنب أولسون الحديث عن الدوافع التجارية لأنثروبيك. وكتبت: “كشف أنثروبيك عن Mythos بالتأكيد يعزز من جهوده الدعائية قبل طرحه للاكتتاب العام، ويزيد من غموض قدرته التكنولوجية.”

لكنها أشارت أيضًا إلى أن ذلك لا ينفي خطورة المشكلة ذاتها: “لكن الأمر أيضًا يفرض حسابًا ضروريًا حول كيف أن النافذة الزمنية بين نشر الثغرات البرمجية واستغلالها قد اختفت بشكل فعلي.”

لاحظت أن وول ستريت نفسها لا تزال غير قادرة على الإجابة على سؤال: ماذا يجب أن يكون عليه الكشف المسؤول. تمتلك البنوك على الأقل الموارد والمال لدفع نحو تغييرات هيكلية في نشر التصحيحات بشكل شبه فوري. وترى أولسون أن المشكلة الأكبر تكمن في الشركات الصغيرة والمتوسطة، التي تحتاج إلى سرعة استجابة مماثلة، ولكن السوق لا يوفر لها الدعم التقني أو التنظيمي اللازم.

سبق أن أبلغت تقارير عن قائمة 15 خطوة للأمان الرقمي الشخصي التي اقترحها أندريه كارباتي، وهي إطار دفاعي على المستوى الفردي. لكن، في هذا المقال، تتناول أولسون أزمة هيكلية على مستوى المؤسسات: عندما يستغرق الأمر 4 ساعات فقط من الكشف إلى التسلح، فإن نظام الأمن السيبراني المبني على فرضية “لا تزال لديك وقت” يحتاج إلى إعادة تصميم.