أول ثغرة صفرية بالذكاء الاصطناعي: Google تكشف تجاوز 2FA

نُشر في مايو 12, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

أكّد فريق استخبارات التهديدات في Google في مايو 2026 أن جهات إجرامية استخدمت نموذج ذكاء اصطناعي لاكتشاف وتسليح ثغرة zero-day لتجاوز المصادقة الثنائية في أداة إدارة ويب مفتوحة المصدر شائعة — وهي أول حالة مؤكدة لاستخدام إجرامي للذكاء الاصطناعي لبناء ثغرة مسلّحة فعلية. أظهر سكريبت Python علامات جنائية نموذجية لنماذج اللغة الكبيرة، منها درجة CVSS مهلوسة ودوال توثيقية تعليمية مفصّلة.

الخلاصة: يجب على فرق الأمن المؤسسي مراجعة أدوات إدارة الويب بحثاً عن ثغرات منطقية خلال 30 يوماً، وتحديث اتفاقيات مستوى الخدمة لإدارة الثغرات لمعاملة أي تجاوز للمصادقة باعتباره حرجاً بصرف النظر عن درجة CVSS، وإضافة كشف البصمات الأسلوبية لنماذج اللغة الكبيرة إلى أدلة الاستجابة للحوادث.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الصلة بالجزائر
عالية
▾

تنشر البنوك وشركات الاتصالات والمؤسسات العامة الجزائرية أدوات إدارة الويب مفتوحة المصدر ذاتها (phpMyAdmin، وWebmin، وGrafana، وPortainer) التي تقع ضمن نطاق البحث عن الثغرات الصفرية المدعوم بالذكاء الاصطناعي. التهديد غير محدود جغرافياً.

البنية التحتية جاهزة؟
جزئياً
▾

تمتلك المؤسسات الجزائرية عمليات أساسية لإدارة الثغرات، لكن معظمها يفتقر إلى مراجعة الكود المُعزَّزة بالذكاء الاصطناعي في pipelines CI/CD وإلى قواعد كشف الأخطاء المنطقية في SLA إدارة الثغرات.

المهارات متوفرة؟
محدودة
▾

الباحثون الأمنيون القادرون على إجراء مراجعة كود مدعومة بنموذج LLM على التطبيقات الداخلية نادرون في الجزائر. توجد شركات اختبار اختراق خارجية بهذه القدرة لكنها مركّزة في الجزائر العاصمة ومرتفعة التكلفة.

الجدول الزمني للعمل
فوري
▾

صدر التصحيح لهذه الثغرة بالذات. ينبغي إكمال الإجراء الأشمل — تدقيق الأخطاء المنطقية لأدوات الإدارة وتحديث SLA الثغرات — في غضون 30 يوماً في أي مؤسسة تمتلك عمليات أمن أساسية.

أصحاب المصلحة الرئيسيون
مديرو أمن المعلومات في المؤسسات، ومحللو SOC، وفرق أمن التطبيقات، ومسؤولو إدارة الثغرات

نوع القرار
تكتيكي
▾

تغييرات إجرائية محددة — تحديث SLA الثغرات، وتدقيق أدوات الإدارة، وإرشادات كشف كود الاستغلال — لا تتطلب استثماراً رأسمالياً، بل تغيير العمليات فحسب.

خلاصة سريعة: ينبغي لفرق أمن المؤسسات تدقيق كل أداة إدارة مستندة إلى الويب في بيئتها بحثاً عن الانكشاف أمام الأخطاء المنطقية في غضون 30 يوماً، وتحديث SLA إدارة الثغرات لمعالجة أي تجاوز مصادقة بوصفه أولوية حرجة بصرف النظر عن درجة CVSS، وإضافة فحص توقيعات التوثيق بأسلوب LLM إلى دلائل الاستجابة للحوادث. القدرة التي أنتجت هذا الاستغلال متاحة الآن لأي جهة إجرامية — ميزة المدافع هي سرعة العمليات لا التفوق التقني.

ما اكتشفته Google ولماذا يمثل تحولاً جذرياً

نشر فريق Google للاستخبارات السيبرانية (GTIG) نتائجه في 11 مايو 2026 — في أول استخدام إجرامي مؤكد للذكاء الاصطناعي لبناء ثغرة صفرية مسلّحة. استخدم جهة تهديد إجرامية، أو مجموعة صغيرة من الجهات المتعاونة، نموذج ذكاء اصطناعي لتحديد ثغرة تجاوز المصادقة الثنائية في أداة إدارة نظام شعبية مفتوحة المصدر وتحويلها إلى سلاح. يمثل هذا الكشف تحولاً نوعياً: فهو يسقط النافذة الزمنية التي كانت فرق الأمن تفترض أنها تتراوح بين 12 و18 شهراً وتفصل أبحاث الثغرات الصفرية المدعومة بالذكاء الاصطناعي عن النشر الإجرامي. قدّرت Google بدرجة ثقة عالية أن الذكاء الاصطناعي أسهم في اكتشاف الثغرة وتطوير الاستغلال معاً — وهو الأول من نوعه في الاستخدام الإجرامي المؤكد، بخلاف تجارب الباحثين الأمنيين.

الثغرة ذاتها — التي كُشف عنها علناً في مايو 2026 بعد إبلاغ المورد بصورة مسؤولة — كانت خللاً منطقياً دلالياً: كان المطور قد ترمّز افتراض ثقة يتعارض مباشرةً مع تطبيق المصادقة في التطبيق. كان نظام المصادقة في ظروف بعينها يتجاوز العامل الثاني. هذا النوع من الخلل — خطأ منطقي رفيع المستوى لا فساد في الذاكرة أو تجاوز المخزن المؤقت — هو بالضبط المجال الذي تتفوق فيه نماذج اللغة الكبيرة الحديثة على الماسحات الآلية التقليدية. تبحث أدوات تحليل الكود كالمحللات الساكنة عن أنماط معروفة؛ أما نماذج LLM فقادرة على قراءة الدلالات المنطقية وتحديد التناقض بين ما يدّعي الكود أنه يفعله وما يفعله فعلياً.

أكدت تغطية SecurityWeek أن Google أبلغت المورد بالثغرة قبل النشر وأن تصحيحاً أُصدر. حملة الاستغلال الجماعي التي كانت الجهات الفاعلة تخطط لها تعطّلت — إذ يُرجَّح أن أخطاء التنفيذ في كودها تدخّلت في نجاح التنفيذ. حادثة كادت تقع لكنها لم تقع، لا حادثة لم تحدث أصلاً.

ثلاثة إشارات مخفية في الأدلة

الإشارة 1: ترك نموذج LLM آثاراً جنائية في كود الاستغلال

كان الاستغلال عبارة عن سكريبت Python. رصد GTIG عدة مؤشرات مميزة للكود المولّد بنماذج LLM: «توثيق تعليمي وافر»، ودرجة خطورة CVSS متخيَّلة مدمجة في تعليقات الكود، و«تنسيق Python منظم ونموذجي» يتسق مع بيانات تدريب نماذج LLM. أتاحت هذه الآثار لـ Google صياغة نسبتها بدرجة ثقة عالية. أشار The Hacker News إلى أن درجة CVSS المتخيَّلة كاشفة بشكل خاص — فنموذج LLM ولّد تقييم خطورة لثغرة اكتشفها للتو وأدرجه في تعليق كأنه يتبع اتفاقيات توثيق استغلال الثغرات. لا يفعل أي مطور بشري للاستغلال ذلك. لكن LLM فعل ذلك لأنه تدرّب على قواعد بيانات استغلال تتضمن درجات CVSS.

التداعية الجنائية: أصبح لدى المدافعين الآن فئة جديدة من مؤشرات الاختراق. يمتلك كود الاستغلال المولّد بالذكاء الاصطناعي توقيعاً أسلوبياً قابلاً للكشف يختلف عن الكود اليدوي بطرق متسقة وقابلة للتحديد. ينبغي لفرق استخبارات التهديدات بناء منطق كشف يُعلم بأنماط توثيق بأسلوب LLM في السكريبتات المكتشفة خلال تحقيقات الحوادث.

الإشارة 2: ثغرات الخلل المنطقي هي منطقة التفوق الجديدة للذكاء الاصطناعي

تتفوق ماسحات الثغرات الآلية التقليدية في الكشف عن فئات معروفة من مشكلات سلامة الذاكرة — تجاوزات المخزن المؤقت وأخطاء السلسلة والاستخدام بعد التحرير — لأنها تنطبق على أنماط معرّفة في الكود الثنائي أو المصدر. تتفوق نماذج الذكاء الاصطناعي في فهم السياق الدلالي، مما يجعلها أفضل في إيجاد فئة الأخطاء التي تفوّت عليها الماسحات: الأخطاء المنطقية وتجاوزات المصادقة والانتقالات غير الآمنة للحالة. نقل تحليل Help Net Security عن GTIG أن «نماذج LLM الحديثة تتفوق في تحديد الأخطاء عالية المستوى والشذوذات الساكنة المرمّزة» — وهو بالضبط نوع الثغرة في هذا الاستغلال.

يعيد هذا تشكيل سطح المخاطر لفرق التطبيقات في المؤسسات. كل أداة إدارة نظام، وكل لوحة تحكم ويب، وكل API داخلي بمنطق مصادقة معقد أصبح الآن ضمن نطاق البحث عن الثغرات المدعوم بالذكاء الاصطناعي. فئة الهجوم ليست تجاوزات المخزن المؤقت في كود C (حيث تُزيل لغات سلامة الذاكرة السطح بالفعل). بل هي منطق الأعمال في Python وJavaScript وGo — لغات أدوات إدارة الويب الحديثة التي تنشرها المؤسسات بالمئات عبر بنيتها التحتية. تدير مؤسسة متوسطة الحجم عادةً ما بين 40 و80 من هذه الأدوات؛ وأقل من 5% منها خضعت لمراجعة كود مخصصة للأخطاء المنطقية خلال الـ 24 شهراً الماضية، وفقاً لمعايير أمن التطبيقات.

الإشارة 3: الجهات الحكومية متقدمة بالفعل على الجهات الإجرامية في استخدام الذكاء الاصطناعي للاستغلال

أشار تقرير GTIG إلى أن APT45 (كوريا الشمالية) كانت تستخدم الذكاء الاصطناعي «للمرور عبر آلاف عمليات التحقق من الاستغلال وتوسيع مجموعة أدواتها» منذ أوائل 2025 على الأقل، فيما كان المشغّلون المرتبطون بالدولة الصينية يجرّبون أنظمة الذكاء الاصطناعي في البحث عن الثغرات واستطلاع الأهداف الآلي منذ يناير 2026. جاء الكشف الإجرامي في مايو 2026 في المرتبة الثانية من حيث الجدول الزمني. تستخدم الجهات الحكومية البحث عن الثغرات المدعوم بالذكاء الاصطناعي لفترة أطول، بدرجة أعلى من التطور، وضد أهداف أعلى قيمة. وضع تقرير Bloomberg هذه الحالة الإجرامية في سياق تقييم GTIG الأشمل الذي يرى أن الذكاء الاصطناعي يسرّع اكتشاف الثغرات غير المعروفة وتحويلها إلى أسلحة عبر مشهد التهديدات بأكمله.

ما يجب على فرق أمن المؤسسات فعله الآن

1. تدقيق أدوات الإدارة المستندة إلى الويب بحثاً عن الانكشاف أمام الأخطاء المنطقية

الإجراء الفوري هو الجرد. أدرج كل واجهة إدارية مستندة إلى الويب في بيئتك: لوحات إدارة الخوادم، وأدوات إدارة قواعد البيانات، ولوحات تحكم CI/CD، وواجهات إدارة أجهزة الشبكة، وكونسولات إدارة مزودي الهوية. لكل أداة، اسأل: هل يحتوي منطق المصادقة على شروط أو حالات تجاوز أو افتراضات ثقة رمّزها مطور في الكود؟ هذه بالضبط الأهداف التي سيجدها البحث عن الثغرات المدعوم بالذكاء الاصطناعي. أعطِ الأولوية لتدقيق الأدوات المكشوفة على الإنترنت أو التي يمكن الوصول إليها من نقاط الانتشار الجانبي المخترقة. استعن بفريق أمن التطبيقات أو مختبر اختراق خارجي لإجراء مراجعة كود مركّزة على الأخطاء المنطقية — لا مجرد تشغيل ماسح — على أعلى الأدوات أولوية.

2. معالجة CVE الأخطاء المنطقية بنفس إلحاحية CVE سلامة الذاكرة

تُدنّي دليل إدارة الثغرات التقليدي أولوية الأخطاء المنطقية مقارنةً بمشكلات سلامة الذاكرة لأن درجات CVSS للأخطاء المنطقية تبدو أحياناً أقل (لا تنفيذ اعتباطي للكود، لا وصول بامتيازات root مضمّن في وصف CVE). تعكس هذه الحالة هذا الافتراض: جرى تحويل ثغرة منطقية لتجاوز المصادقة الثنائية إلى ثغرة صفرية للاستغلال الجماعي. حدّث SLA إدارة الثغرات لديك لمعالجة أي تجاوز مصادقة أو خلل في إدارة الجلسة أو خطأ منطقي في التحكم بالوصول بوصفه بالغ الأهمية بصرف النظر عن درجة CVSS الأساسية. رقّع هذه الثغرات في غضون 24 ساعة من الكشف عنها، لا وفق الدورة المعيارية المعتادة من 7 أو 30 يوماً.

3. إضافة كشف كود الاستغلال المولّد بنموذج LLM إلى سير عمل استخبارات التهديدات

أثبت GTIG أن كود الاستغلال المولّد بالذكاء الاصطناعي يمتلك بصمة أسلوبية قابلة للكشف. ينبغي للفرق الأمنية تحديث دلائل الاستجابة للحوادث للبحث صراحةً عن هذا التوقيع عند تحليل السكريبتات المكتشفة خلال التحقيقات. عملياً: حين يستخرج فريق DFIR سكريبتاً من مضيف مخترق، نفّذ فحصاً إرشادياً سريعاً — توثيق مطوّل، وتعليقات CVSS أو خطورة مدمجة، ودوال مساعدة بتنسيق نموذجي. صنّفها للمراجعة البشرية بوصفها محتملة الإنتاج بالذكاء الاصطناعي. هذا لا يُعطّل الاستجابة؛ بل هو إشارة نسب تغيّر طريقة تحديد نطاق التحقيق (الدعم بالذكاء الاصطناعي يعني أن الجهة الفاعلة امتلكت وصولاً سريعاً وزهيداً لقدرة البحث عن الثغرات، مما يُلمح إلى احتمال امتلاكها استغلالات إضافية في مجموعة أدواتها).

4. تسريع استخدامك الدفاعي للذكاء الاصطناعي في البحث عن الأخطاء المنطقية

القدرة ذاتها التي استخدمها المهاجمون متاحة للمدافعين. يمكن تشغيل أدوات مراجعة الكود المدعومة بالذكاء الاصطناعي على كودك التطبيقي الداخلي للعثور على الأخطاء المنطقية قبل المهاجمين. GitHub Copilot، ومراجعة Cursor بالذكاء الاصطناعي، وقواعد Semgrep بالذكاء الاصطناعي، وأدوات متخصصة كـ CodeQL مع استعلامات مُعزَّزة بنموذج LLM، يمكن لها جميعاً إجراء التحليل الدلالي الذي اكتشف هذه الثغرة. لم يعد التعامل مع مراجعة كود الذكاء الاصطناعي الدفاعية بوصفها تمريناً ربع سنوي كافياً — ينبغي أن تُشغَّل مع كل دمج نحو الفرع الرئيسي في pipeline CI/CD. التكلفة وقت حساب (عادةً 0.02 إلى 0.10 دولار لكل مراجعة كود لمستودع متوسط الحجم بأسعار API اللغة الكبيرة الحالية)؛ والعائد هو إيجاد أخطائك المنطقية أنت أولاً، قبل أن يفعل ذكاء اصطناعي إجرامي.

السؤال الهيكلي — والموازي الدفاعي

يطرح الكشف في 11 مايو سؤالاً هيكلياً على صناعة الأمن: إذا جعل الذكاء الاصطناعي اكتشاف الثغرات الصفرية رخيصاً بما يكفي لجهات إجرامية دون دعم حكومي، فكيف تبدو الإفصاح المسؤول في عالم انهارت فيه نافذة التصحيح؟

اكتُشف تجاوز المصادقة الثنائية قبل الاستغلال الجماعي بسبب أخطاء في تنفيذ الجهات الفاعلة — وذلك جزئياً حظ. كان لدى المورد الوقت للتصحيح. في الحالة القادمة، قد لا يحتوي الاستغلال المولّد بالذكاء الاصطناعي على أي أخطاء تنفيذ. الجدول الزمني للإفصاح لدى GTIG (اكتشاف ← إبلاغ المورد ← تصحيح ← إفصاح عام) هو المعيار الذهبي. لكنه يفترض أن المدافع يرى الاستغلال قبل ارتفاع عدد الضحايا. يصعب الحفاظ على هذا الافتراض مع قيام الذكاء الاصطناعي بإزالة حاجز المهارات في تطوير الثغرات الصفرية وضغط الوقت بين تحديد الثغرة والتسليح التشغيلي.

لا تستطيع فرق المؤسسات التحكم في الجدول الزمني للإفصاح. بوسعها التحكم في قدرة الكشف لديها: مراقبة الشبكة لأنماط المصادقة غير المعتادة، والـ honeytokens في واجهات الإدارة، وكشف الشذوذات في أنماط تسجيل الدخول على أدوات الإدارة التي قد تكشف محاولات الاستغلال حتى ضد الثغرات الصفرية غير المُرقّعة. هذه هي الضوابط التي تشتري الوقت حين تكون نافذة التصحيح أقصر من الدورة المعيارية.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

كيف علمت Google بدرجة ثقة عالية أن الذكاء الاصطناعي استُخدم لبناء الاستغلال؟

رصد GTIG في Google عدة مؤشرات جنائية في سكريبت Python الخاص بالاستغلال مميزة لكود مولّد بنموذج LLM: توثيق تعليمي وافر يشرح وظيفة كل دالة (تضيفه نماذج LLM لأنها تدرّبت على كود موثّق)، ودرجة خطورة CVSS متخيَّلة مدمجة في تعليق (كان نموذج LLM يتبع اتفاقيات كتابة الاستغلال المكتسبة من بيانات تدريبه)، وكود Python بتنسيق نموذجي مع دوال مساعدة أكثر منهجية مما ينتجه مطور بشري للاستغلال عادةً. هذه المؤشرات مجتمعةً — لا يكون أي مؤشر بمفرده حاسماً — أعطت Google درجة ثقة عالية بأن نموذج ذكاء اصطناعي أسهم في الاكتشاف والتسليح معاً. درجة CVSS المتخيَّلة هي الأكثر تميزاً: فهي سلوك خاص بالذكاء الاصطناعي المدرَّب على قواعد بيانات الاستغلال، لا ممارسة مطور بشري للاستغلال.

هل يعني هذا أن كل تطبيق للمصادقة الثنائية أصبح الآن معرضاً للخطر من الهجمات المدعومة بالذكاء الاصطناعي؟

لا. كانت هذه الثغرة بعينها خللاً منطقياً دلالياً — احتوى كود المصادقة على افتراض ثقة مُرمَّز يمكن استغلاله لتجاوز العامل الثاني في ظروف بعينها. لم يكن ضعفاً عاماً في تقنية المصادقة الثنائية. المصادقة الثنائية المُنفَّذة بشكل صحيح عبر FIDO2/passkeys لا تعاني هذا النوع من الأخطاء المنطقية لأن المصادقة تشفيرية لا شرطية. ينطبق الخطر تحديداً على البرمجيات ذات منطق المصادقة المعقد المُنفَّذ في الكود، ولا سيما أدوات الإدارة مفتوحة المصدر القديمة التي لم تخضع لمراجعات كود أمني حديثة. معايير المصادقة الحديثة (FIDO2، وWebAuthn) أصعب بكثير من التحايل عليها بهذه الفئة من الهجمات.

هل هذه المرة الأولى التي يُستخدم فيها الذكاء الاصطناعي لإيجاد ثغرة صفرية، أم فقط أول حالة إجرامية مؤكدة؟

إنها أول حالة مؤكدة لجهات إجرامية تستخدم الذكاء الاصطناعي لبناء ثغرة صفرية عاملة ومسلّحة. أشار GTIG في Google إلى أن جهات حكومية — وتحديداً APT45 (كوريا الشمالية) والمشغّلين المرتبطين بالدولة الصينية — كانت تستخدم الذكاء الاصطناعي للبحث عن الثغرات والتطوير الآلي للاستغلال قبل هذه الحادثة. كما أثبت باحثو الأمن اكتشاف الثغرات الصفرية المدعوم بالذكاء الاصطناعي في بيئات بحثية خاضعة للسيطرة منذ سنتين على الأقل. التمييز هو: هذه أول حالة مؤكدة استخدمت فيها جهات إجرامية ذات دوافع مالية (لا باحثون ولا دول) الذكاء الاصطناعي لتطوير استغلال عامل مخصص للنشر الجماعي، مما يسقط افتراض أن الثغرات الصفرية المدعومة بالذكاء الاصطناعي تتطلب موارد حكومية.

—