تقييم AISI Claude Mythos: الذكاء الاصطناعي ينفذ هجوم شبكي من ٣٢ خطوة

نشر معهد أمن الذكاء الاصطناعي البريطاني (AISI) تقييمه المستقل لنموذج Anthropic's Claude Mythos Preview — وهو النموذج الرائد غير المُصدر الذي يشغل Project Glasswing — وتُعيد النتائج صياغة الطريقة التي يجب أن يفكر بها المدافعون حول القدرات السيبرانية الهجومية المدفوعة بالذكاء الاصطناعي. نجح Mythos Preview في حل 73% من تحديات "الاستحواذ على العلم" (CTF) على مستوى الخبراء (وهي مهام لم يتمكن أي نموذج من إكمالها حتى أبريل 2025)، وأصبح أول نظام ذكاء اصطناعي يحل بشكل مستقل محاكاة هجوم مؤسسي مكونة من 32 خطوة تابعة لـ AISI، بدءًا من الاستطلاع وصولاً إلى السيطرة الكاملة على الشبكة.¹

ما ستتعلمه

• ما الذي قيمه AISI ولماذا تهم نتائجه أكثر من معايير الموردين
• أرقام CTF الدقيقة — نجاح بنسبة 73% على مستوى الخبراء وماذا يعني "مستوى الخبراء" فعلياً
• كيف أدى Mythos Preview في "The Last Ones"، وهو نطاق هجوم مكون من 32 خطوة
• كيف يقارن Mythos Preview بـ Claude Opus 4.6 في نفس النطاق
• التحذيرات الحاسمة التي أرفقها AISI بنتائجه — وما يجب على المدافعين فعله حقاً

ملخص

قام AISI، معهد أمن الذكاء الاصطناعي التابع للحكومة البريطانية، باختبار Claude Mythos Preview عبر تحديات "الاستحواذ على العلم" ونطاق هجوم متعدد الخطوات يسمى "The Last Ones" (TLO). في مهام CTF على مستوى الخبراء، نجح النموذج بنسبة 73% من الوقت. وفي TLO — وهو اختراق لشبكة مؤسسية مكون من 32 خطوة يقدر AISI أنه يستغرق خبراء بشريين حوالي 20 ساعة — يعد Mythos Preview أول نموذج يكمل النطاق من البداية إلى النهاية، حيث فعل ذلك في 3 من أصل 10 محاولات وبمتوسط 22 من أصل 32 خطوة عبر جميع الجولات. النموذج التالي الأفضل الذي تم اختباره، Claude Opus 4.6، حقق متوسط 16 من أصل 32 خطوة ولم يكمل TLO أبداً. يحذر AISI من أن النطاقات كانت تفتقر إلى مدافعين مباشرين واكتشاف نقاط النهاية، لذا تعكس النتائج هجوماً مستقلاً على أنظمة ضعيفة الدفاع، وليس اختراقاً لشبكات مؤسسية محصنة. الخلاصة التشغيلية للمعهد: لا يزال الانضباط في الترقيع (patching)، وضوابط الوصول، والتكوين المحصن، والتسجيل الشامل (logging) أمراً مهماً. يوجه AISI المؤسسات البريطانية إلى مخطط NCSC Cyber Essentials كخط أساس.²

لماذا يهم تقييم AISI المستقل

عندما يشحن مختبر رائد نموذجاً، فإنه يشحن أيضاً تقييمات السلامة الخاصة به. تقرير Anthropic التقني لنموذج Mythos Preview مفصل وينتقد الذات، لكنه لا يزال المورد الذي يقيم واجبه المنزلي بنفسه.³ أما AISI فهو مختلف. إنه هيئة حكومية بريطانية ممولة لإجراء تقييمات مستقلة لأنظمة الذكاء الاصطناعي الرائدة قبل نشرها. تم تصميم اختباراتها السيبرانية وتشغيلها من قبل المعهد، ولا يتم تسجيلها بناءً على بيانات الضبط الدقيق الخاصة بالنموذج نفسه. عندما يصدر AISI رقماً، فإنه يمثل إحدى النقاط المرجعية القليلة الخاضعة للمساءلة العامة التي يمتلكها مجتمع الأمن.

تصف Anthropic نموذج Claude Mythos Preview بأنه "نموذج لغوي جديد للأغراض العامة" و "يؤدي بقوة في جميع المجالات، لكنه قادر بشكل مذهل في مهام أمن الكمبيوتر."⁴ أعلنت Anthropic عنه في 7 أبريل 2026، مدمجاً مع Project Glasswing — وهو كونسورتيوم صناعي يمنح وصولاً مقيداً لشركات Amazon Web Services، Apple، Broadcom، Cisco، CrowdStrike، Google، JPMorganChase، Linux Foundation، Microsoft، NVIDIA، و Palo Alto Networks، إلى جانب أكثر من 40 منظمة إضافية تحافظ على برمجيات حرجة.⁵ النموذج غير متاح للعامة: يدفع الشركاء 25 دولاراً لكل مليون توكن إدخال و 125 دولاراً لكل مليون توكن إخراج عبر Claude API، و Amazon Bedrock، و Google Cloud Vertex AI، و Microsoft Foundry.⁶

هذا الوضع من الوصول المقيد يجعل تقييم AISI الإشارة الخارجية الأكثر موثوقية لما يمكن لـ Mythos Preview فعله حقاً.

الاستحواذ على العلم: 73% في مهام الخبراء

تحديات "الاستحواذ على العلم" هي العملة القياسية لتقييم مهارات الأمن الهجومي. يضع كل تحدٍ نظاماً عرضة للاختراق ويطلب من المحلل استعادة "علم" — وهو سلسلة نصية سرية — من خلال الاستغلال. يصنف AISI اختباراته حسب الصعوبة، من ألغاز سوء التكوين للمبتدئين إلى سلاسل مستوى الخبراء التي تجمع بين الهندسة العكسية، وتطوير الثغرات، وتصعيد الامتيازات.

النتيجة الرئيسية لـ AISI في جانب CTF: يحل Mythos Preview نسبة 73% من تحديات مستوى الخبراء. ولتوضيح المقياس، يشير AISI إلى أنه لم يتمكن أي نموذج من إكمال أي مهام CTF على مستوى الخبراء قبل أبريل 2025. في غضون 12 شهراً، انتقلت الحدود من "مستحيل" إلى "محلول في الغالب". هذا الفارق ليس خطاً بيانياً سلساً — إنه تغيير جذري، ويقع Mythos Preview في طليعته.⁷

النجاح على مستوى الخبراء مهم لأن هذه هي المهام التي تقترب أكثر من مهارات باحث أمن هجومي حقيقي: قراءة الملفات الثنائية، والتفكير في فساد الذاكرة، وبناء ثغرة عاملة من خطأ برمجبي. النموذج الذي يمكنه فعل ذلك بنسبة 73% من الوقت عبر مجموعة AISI ليس مجرد مساعد لأتمتة اختبار الاختراق — بل هو متعاون على مستوى الأقران لـ red-teamer خبير.

"The Last Ones": نطاق هجوم AISI المكون من 32 خطوة

تختبر تحديات CTF حل الألغاز. لكنها لا تختبر ما إذا كان النموذج يمكنه ربط تلك المهارات معاً في سلسلة قتل اختراق كاملة. هذا هو السبب في أن AISI بنى TLO.

"The Last Ones" هو هجوم محاكى على شبكة مؤسسية مكون من 32 خطوة يغطي دورة حياة الاختراق الكاملة: الاستطلاع الأولي، موطئ القدم، سرقة بيانات الاعتماد، التحرك الجانبي، تصعيد الامتيازات، الاستمرارية، وفي النهاية السيطرة الكاملة على الشبكة. يقدر AISI أن الخبير البشري يحتاج إلى حوالي 20 ساعة للعمل عبر هذا النطاق.⁸

في TLO، تبدو النتائج كالتالي:

هناك أمران في هذا الجدول يستحقان التأمل. أولاً، Mythos Preview هو أول نظام ذكاء اصطناعي يراه AISI يكمل TLO من البداية إلى النهاية — وهو معلم لم يصله الجيل السابق من النماذج الرائدة. ثانياً، تقدمه بمتوسط 6 خطوات على Opus 4.6 هو الفجوة بين نموذج يمكنه تمهيد هجوم ونموذج لا يستطيع إنهاءه. ينجح Opus 4.6 بشكل موثوق في النصف الأول من الاختراق؛ أما Mythos Preview فيتجاوز بشكل روتيني النقطة التي يتطلب فيها التحرك الجانبي وتصعيد الامتيازات والاستمرارية — وهي المراحل التي لا يزال لدى المدافعين البشريين فيها عادةً وقت لـ React.

التحذيرات التي أرفقها AISI (ولماذا تهم)

يتسم AISI بالصراحة غير المعتادة بشأن ما لا يظهره تقييمه الخاص. تبرز ثلاثة تحذيرات:⁹

1. لا يوجد مدافعون مباشرون. لا تشمل النطاقات مستجيبين بشريين، أو نشاط الفريق الأزرق، أو اتخاذ قرار في الوقت الفعلي. يمكن للنموذج تجربة تقنية صاخبة خمس مرات دون عواقب.
2. لا يوجد اكتشاف لنقاط النهاية أو استجابة للحوادث في الوقت الفعلي. تقوم شبكات المؤسسات الحديثة بتشغيل أدوات EDR التي تضع علامة على سلوك العمليات غير المعتاد وتنهي السلاسل المشبوهة. النطاقات لا تفعل ذلك.

تأطير AISI الخاص: النتائج تثبت أن Mythos Preview يمكنه مهاجمة الأنظمة ضعيفة الدفاع بشكل مستقل. وهي لا تثبت قدرته على اختراق شبكات المؤسسات المحصنة التي تمتلك عمليات أمنية ناضجة.

هذا ليس تهرباً — بل هو تمييز تقني مهم. فالهجوم المكون من 32 خطوة والذي ينجح ضد نطاق صامت لا يزال من الممكن اكتشافه في الخطوة الثالثة في بيئة حقيقية مع وجود تسجيل دخول (logging) وتنبيهات كفؤة.

ما تخبر به AISI المنظمات البريطانية بفعله

توصية AISI التشغيلية تكاد تكون متواضعة بشكل متحدٍ. يوجه المعهد المنظمات البريطانية للعودة إلى أساسيات الأمن السيبراني: الانضباط في الترقيع (patching)، ضوابط الوصول، التكوين المحصن، وتسجيل الدخول الشامل. وهو يؤيد صراحةً مخطط NCSC Cyber Essentials كإطار عمل أساسي.¹⁰

تلك التوصية تبدو مختلفة بمجرد قراءتها جنباً إلى جنب مع نتائج Anthropic الخاصة بـ Mythos Preview — وهي أن النموذج قد حدد بالفعل آلاف الثغرات الأمنية من نوع zero-day عالية الخطورة، بما في ذلك خلل TCP SACK عمره 27 عاماً في OpenBSD، وثغرة H.264 عمرها 16 عاماً في FFmpeg، وثغرة تنفيذ برمجيات عن بُعد في NFS عمرها 17 عاماً في FreeBSD (CVE-2026-4747).¹¹ كان الانضباط في الترقيع دائماً قضية أساسيات. في بيئة يمكن فيها لنماذج الحدود (frontier models) العثور بشكل مستقل على أخطاء عمرها عقود على نطاق واسع، انهار نصف عمر عبارة "غير مرقع ولكن ربما يكون بخير".

رسالة AISI لمجالس الإدارة في المملكة المتحدة هي أن أساسيات الأمن السيبراني لم تعد مجرد أعمال سباكة اختيارية؛ بل هي الطبقة الرقيقة التي تحدد ما إذا كان المهاجم الذي يستخدم أدوات من فئة Mythos سيهبط على نظام يتم الاستيلاء عليه في ساعة واحدة أو دقيقة واحدة.

كيف يتناسب هذا مع سياسة التوسع المسؤول من Anthropic

القدرة السيبرانية لـ Mythos Preview هي السبب في أن Anthropic لا تشحنه للجمهور. قدرة النموذج على اكتشاف ثغرات zero-day على نطاق واسع تضعه عند أو بالقرب من عتبة ASL-3 لقدرات الأمن السيبراني بموجب سياسة التوسع المسؤول من Anthropic — وهو المعيار الداخلي الذي تعتبر عنده الضمانات الحالية غير كافية لمنع سوء الاستخدام الجسيم.¹² مشروع Glasswing هو الحل البديل: إعطاء النموذج للمدافعين بموجب عقد قبل شحن أي قدرة مكافئة للمهاجمين بشكل مفتوح.

نتائج AISI تعطي هذا القيد بعض الوزن. إذا كان مقيم حكومي مستقل يسجل أول اختراق مؤسسي كامل مكون من 32 خطوة تم إنجازه بواسطة نموذج، فمن السهل معرفة سبب تغيير الوصول غير المقيد للحسابات الدفاعية لكل منظمة على الإنترنت في وقت واحد.

ماذا تفعل هذا الأسبوع إذا كنت مدافعاً

تقييم AISI مفيد حقاً للمدافعين لأنه قابل للتنفيذ. ثلاث خطوات ملموسة:

• اقرأ التقرير الفني لـ Anthropic Mythos Preview جنباً إلى جنب مع تقييم AISI.¹³ تكشف Anthropic عن فئات الأخطاء التي يجيد Mythos Preview العثور عليها؛ وتخبرك AISI كيف تترجم هذه الأخطاء إلى سلسلة هجوم كاملة. الوثيقتان معاً تشكلان نموذج تهديد.
• قم بمراجعة وتيرة الترقيع الخاصة بك مقابل الأخطاء مفتوحة المصدر التي تعود لعقود. تظهر الإفصاحات العامة لـ Mythos Preview نمطاً مستمراً في العثور على مسارات برمجية قديمة جداً افترض الجميع أنها تمت مراجعتها. إذا كنت تعتمد على FFmpeg، أو حزم شبكات OpenBSD، أو خوادم NFS، فتعامل مع هذا كسباق ترقيع نشط، وليس كمجرد عنصر في قائمة التتبع.
• استثمر في اتساع نطاق الكشف، وليس العمق فقط. تنبيهات AISI هي الخبر السار: في نطاق مع مدافعين، كانت ضوضاء Mythos Preview ستظهر على السطح. هذا صحيح فقط إذا كان فريقك الأزرق (blue team) يستطيع رؤية الضوضاء. تسجيل الدخول الشامل و EDR الحديث هما الآن الفجوة بين نطاق AISI وشبكة الإنتاج الخاصة بك.

الخلاصة

تقييم AISI هو أوضح تأكيد مستقل على أن الذكاء الاصطناعي المتقدم قد انتقل، في غضون 12 شهراً تقريباً، من عدم القدرة على إكمال مسابقات CTF للخبراء إلى الاستيلاء بشكل مستقل على شبكة مؤسسية كاملة مكونة من 32 خطوة. هذه قفزة حقيقية في القدرات، وهي السبب في أن Mythos Preview يقبع خلف مشروع Glasswing بدلاً من شحنه للجمهور. التنبيهات التي أرفقتها AISI — لا مدافعين مباشرين، لا EDR، لا عقوبات على التنبيهات — ليست سبباً للاسترخاء. إنها وصف لما يمكن للذكاء الاصطناعي فعله ضد بيئة غير محمية، وحجة ضمنية بأن الفجوة بين "غير محمي" و"محمي حقاً" هي الآن أهم شيء يمكن لبرنامجك السيبراني إغلاقه.