كيف اكتشف Claude Mythos ٢٧١ ثغرة أمنية في Firefox

ملخص

نجح نموذج Claude Mythos Preview، وهو نموذج رائد غير مُصدر من شركة Anthropic، في تحديد 271 ثغرة أمنية في متصفح Firefox خلال عملية تقييم واحدة مع فريق أمن Mozilla. تم إطلاق الإصلاحات في Firefox 150 في 21 أبريل 2026 بموجب الاستشارة الأمنية لمؤسسة Mozilla رقم MFSA 2026-30، والتي تدرج 41 ثغرة أمنية عامة (CVEs) — ثلاثة منها نُسبت صراحةً إلى Claude (وهي CVE-2026-6746، وCVE-2026-6757، وCVE-2026-6758). طوال شهر أبريل 2026، شحنت Mozilla إجمالي 423 إصلاحًا أمنيًا — 271 منها من فحص Mythos، و41 تم الإبلاغ عنها خارجيًا، و111 تم العثور عليها داخليًا — مع مشاركة أكثر من 100 مساهم في Mozilla في عمليات التصحيح والمراجعة وفرز المتراكمات.¹²³ ويُعد هذا أحد أكبر عمليات الكشف عن الثغرات الأمنية بمساعدة الذكاء الاصطناعي المسجلة لمتصفح رئيسي.

ما ستتعلمه

• النطاق الدقيق لتصحيح Firefox 150 وما تحتويه الاستشارة MFSA 2026-30
• لماذا حصلت 3 فقط من أصل 271 ثغرة على معرفات CVE عامة
• كيف تعمل آلية Mozilla البرمجية ثلاثية المسارات (fuzzing، يدوي، وكيل ذكاء اصطناعي) فعليًا
• فجوة الأداء بين Claude Opus 4.6 (22 ثغرة) وMythos Preview (271 ثغرة)
• ماذا يعني مشروع Glasswing لمسؤولي صيانة البرمجيات الحساسة الآخرين
• كيف يجب على المدافعين إعادة ضبط خططهم الأمنية بعد هذه النتيجة

Firefox 150 بالأرقام

أصدرت Mozilla متصفح Firefox 150 في 21 أبريل 2026، مصحوبًا بـ MFSA 2026-30، وهي الاستشارة الأمنية التي تصدر مع كل إصدار رئيسي من Firefox. يحتوي جدول CVE العام للاستشارة على 41 إدخالاً، بما في ذلك تجميعات سلامة الذاكرة القياسية التي تقدمها Mozilla عند كل إصدار.¹

رقم 41 CVE هذا هو ما التقطته معظم أدوات تتبع الأمن. ما يميز هذا الإصدار هو التفاصيل الأعمق وراءه. في إفصاح منفصل في نفس اليوم، أعلنت Mozilla أن مجموعة تصحيحات Firefox 150 تتضمن إصلاحات لـ 271 ثغرة أمنية إضافية تم تحديدها خلال تقييم أولي لنسخة مبكرة من Claude Mythos Preview.²

لوحة نتائج أبريل الكاملة، التي نُشرت بعد أسبوعين على مدونة Mozilla Hacks:³

للمقارنة، شحنت Mozilla ما يقرب من 31 إصلاحًا أمنيًا في أبريل من العام السابق.³ حجم الإصلاحات في أبريل 2026 يزيد عن 13 ضعف الأساس السنوي.

لماذا نُسبت 3 معرفات CVE فقط إلى Claude

كانت هناك نقطة ارتباك شائعة في التغطية الأولية وهي الفجوة بين "271 ثغرة أمنية" وأرقام CVE الثلاثة (CVE-2026-6746، CVE-2026-6757، CVE-2026-6758) المرتبطة صراحةً بـ Claude في MFSA 2026-30.⁴

هذا التفاوت ليس تناقضًا. يتم إصدار معرفات CVE العامة للثغرات التي تستوفي حدًا معينًا من الخطورة — عادةً تنفيذ التعليمات البرمجية عن بُعد (RCE)، أو الهروب من بيئة الحماية (sandbox escape)، أو فئات أخرى عالية التأثير تستدعي الإفصاح لموزعي الحزم والمشغلين. تندرج الثغرات المتبقية التي أظهرها Mythos ضمن الفئات التي تصلحها Mozilla بشكل روتيني دون تسجيل CVE:

• مشكلات الدفاع المتعمق التي تخفف من حدة الاستغلال ولكنها لا تمكنه بشكل مباشر
• تحسينات التحصين حيث كان مسار الكود غير آمن بناءً على التدقيق، ولكن لم يثبت قابليته للاستغلال
• ثغرات في مسارات كود غير قابلة للاستغلال والتي لا تزال تستحق التصحيح من أجل الدقة
• ثغرات منطقية منخفضة الخطورة يتم إصلاحها بهدوء دون تنسيق عام

استوفت ثلاث ثغرات من أصل 271 المعايير المطلوبة للحصول على CVE عام. أما الـ 268 الأخرى فقد تم شحنها بهدوء كجزء من الإصدار العادي لـ Firefox 150، وهي الطريقة المحافظة والصحيحة للتعامل معها — فشركة Mozilla لا تضخم عدد CVE الخاص بها للإعلان عن حصيلتها.

آلية Mozilla ثلاثية المسارات لصيد الثغرات

في 7 مايو 2026، نشر فريق الأمن في Mozilla تقريرًا من وراء الكواليس يصف كيف تم شحن 423 إصلاحًا بالفعل. أكد الفريق أن عملية اكتشاف الثغرات في Firefox تعمل الآن عبر ثلاثة مسارات متوازية:³

1. أنظمة fuzzing المستمرة — توليد مدخلات قائمة على الطفرات تعمل لفترات طويلة ضد المحللات (parsers)، وفك التشفير (decoders)، ومحرك JavaScript.
2. الفحص اليدوي — مراجعة الكود، ونمذجة التهديدات، والبحث الأمني البشري الموجه نحو المكونات عالية المخاطر.
3. آلية ذكاء اصطناعي وكيل جديدة — Claude Mythos Preview بالإضافة إلى نماذج رائدة أخرى، تعمل ضد Firefox من خلال إطار عمل مخصص يعكس دلالات قاعدة الكود وأدواتها وعملياتها.

تؤكد Mozilla أن مسار الذكاء الاصطناعي خاص بقاعدة الكود، وليس مجرد ماسح ضوئي عام. يعمل إطار العمل ضد نسخة مطهرة (sanitizer build) من Firefox ويستخدم تعطل AddressSanitizer كإشارة نجاح حتمية، مع حلقة إعادة محاولة حتى ينتج الوكيل إثباتًا للمفهوم (PoC) تم التحقق منه — مما يلغي معظم النتائج الإيجابية الكاذبة التخمينية التي عابت محاولات التحليل الساكن السابقة.

تغير شيئان بين تجربة Opus 4.6 في فبراير وفحص Mythos في أبريل، وفقًا للتحليل البعدي:

• أصبحت النماذج أكثر قدرة. قدرات Mythos Preview في اكتشاف الثغرات وتطوير الاستغلال ليست تحسينات تدريجية على Opus 4.6 — بل هي قفزات نوعية (انظر القسم التالي).
• أصبح إطار العمل أفضل. قامت Mozilla بتطوير كيفية توجيه النماذج وقياسها وتكديسها — مما أدى إلى توليد إشارات عالية الحجم وتصفية الضوضاء قبل أن تصل إلى المفرز البشري.

النتيجة: جهد داخلي شارك فيه أكثر من 100 شخص لتصحيح ومراجعة واختبار وشحن حجم إصلاحات كان سيستغرق شهورًا في ظل سير العمل السابق.

من 22 إلى 271: الفجوة بين Mythos وOpus 4.6

من الأفضل قراءة نتيجة Firefox 150 مقارنة بـ أساس Firefox 148. في فبراير 2026، أجرت Mozilla تجربة مماثلة — ولكن على نطاق أصغر — باستخدام Claude Opus 4.6. أنتجت تلك الجولة 22 ثغرة مؤكدة في Firefox في غضون أسبوعين تقريبًا، مع شحن الإصلاحات في Firefox 148 (الصادر في 24 فبراير 2026).⁵

بعد شهرين، أنتج فحص Mythos Preview عدد 271 ثغرة. قفزة القدرات واضحة عبر كل المعايير التي نشرتها Anthropic:⁶

تعد تجربة تطوير استغلال محرك JavaScript في Firefox 147 هي الفارق الأكثر ملموساً في القدرات. فبالنظر إلى نفس الثغرات البرمجية لتحويلها إلى سلاح، أنتج Opus 4.6 استغلالين يعملان لـ JS-shell عبر مئات المحاولات. بينما أنتج Mythos Preview‏ 181 استغلالاً — وهو تحسن بنحو 90 ضعفاً في نفس المهمة.⁶

هذا الملف التعريفي للقدرات هو السبب في قرار Anthropic عدم إصدار Mythos للجمهور. وهو أيضاً السبب في أن Mozilla كانت شريكاً مدعواً في وقت مبكر.

مشروع Glasswing: نموذج التوزيع

إن Mythos Preview غير متاح على Claude API العام. الوصول مقيد من خلال مشروع Glasswing، وهو التحالف الذي تقوده Anthropic والذي تم الإعلان عنه جنباً إلى جنب مع النموذج في 7 أبريل 2026.⁷

يغطي شركاء الإطلاق الـ 12 المجالات التي يهم فيها نموذج بهذه القدرات أكثر من غيرها: السحابة، وأنظمة تشغيل المستهلكين، والبنية التحتية للشبكات، والتمويل، ونظام Linux البيئي.

قامت Anthropic بتوسيع نطاق الوصول إلى Mythos Preview ليشمل أكثر من 40 منظمة إضافية تحافظ على البنية التحتية للبرمجيات الحساسة، والتزمت بتقديم ما يصل إلى 100 مليون دولار من أرصدة الاستخدام بالإضافة إلى 4 ملايين دولار في شكل تبرعات مباشرة لمنظمات الأمن مفتوحة المصدر لتمويل العمل.⁷ بالنسبة للشركاء خارج مجمع الأرصدة، يبلغ سعر Mythos Preview‏ 25 دولاراً لكل مليون توكن إدخال و125 دولاراً لكل مليون توكن إخراج — أي خمسة أضعاف سعر Claude Opus 4.6 (5 دولارات / 25 دولاراً).⁸ نافذة السياق هي مليون توكن إدخال مع حد أقصى للإخراج يبلغ 128 ألف توكن.⁸

نشرت Palo Alto Networks، أحد شركاء الإطلاق، تقييمها الخاص في "دليل المدافع" لشهر أبريل 2026. ملخصها: في أقل من ثلاثة أسابيع من التحليل بمساعدة النموذج، عادل الفريق جهداً كاملاً لمدة عام من اختبار الاختراق اليدوي، مع تغطية أوسع من الأساس البشري فقط.⁹

ماذا يعني هذا خارج Firefox

يعد Firefox قاعدة كود خضعت لعمليات فحص مكثفة (fuzzing) وتدقيق شديد مع طاقم أمني بدوام كامل. إذا تمكن Mythos Preview من العثور على 271 ثغرة أمنية في تلك المساحة في تقييم واحد، فإن التبعات على قواعد الكود التي تفتقر إلى تلك الموارد ستكون مقلقة.

بدأت بعض الاستنتاجات الدفاعية في الظهور:

• البرمجيات التي تتم صيانتها تراكم مخاطر كامنة أكثر مما يوحي به الفحص (fuzzing). نجت العديد من الأخطاء في مجموعة Firefox 150 من سنوات من الاختبارات الآلية. كشفها Mythos لأنه يحلل الدلالات البرمجية (semantics)، وليس فقط المدخلات.
• خط العمل هو عمل مخصص لقاعدة الكود، وليس مجرد إضافة (plug-in). تطلبت نتائج Mozilla هندسة أدوات ربط (harness engineering) كبيرة. لا يوجد سير عمل جاهز "للفحص باستخدام Mythos" حتى الآن، وقد قيدت Anthropic استخدام Mythos Preview في أعمال الأمن السيبراني الدفاعية بموجب شروط مشروع Glasswing.
• دورة التصحيح التي تبلغ 90 يوماً ستصبح مختلفة. عندما تنتج دورة تقييم واحدة 271 إصلاحاً يتم شحنها في إصدار واحد، فإن الضغط اللاحق على القائمين على الحزم، ومصنعي المعدات الأصلية المدمجة (embedded OEMs)، وتوزيعات الدعم طويل الأمد (LTS) يتغير شكله. استوعبت Mozilla ذلك لأنها تمتلك قاعدة الكود بالكامل؛ أما البائعون الذين لديهم ضوابط تغيير أكثر صرامة فقد لا يتمتعون بنفس الرفاهية.
• التقدير العام سيقلل من عدد الأخطاء التي يكتشفها الذكاء الاصطناعي. ستظهر 3 فقط من أصل 271 إصلاحاً لـ Mozilla في إحصائيات CVE. أي شخص يتتبع تأثير الذكاء الاصطناعي على الأمن عبر أعداد CVE وحدها سيقلل من تقديره بشكل منهجي.

للحصول على نظرة أوسع حول ما يمكن لـ Mythos Preview القيام به خارج Firefox — بما في ذلك ثغرة OpenBSD التي يبلغ عمرها 27 عاماً والتي كشفها وإعلان مشروع Glasswing الأوسع — راجع Claude Mythos Preview: الذكاء الاصطناعي الأخطر من أن يُصدر. وللاطلاع على التقييم المستقل لمعهد أمن الذكاء الاصطناعي في المملكة المتحدة (UK AI Security Institute) لنموذج Mythos مقابل تحديات CTF على مستوى الخبراء، راجع تقييم AISI لـ Claude Mythos: الذكاء الاصطناعي يسيطر على هجوم شبكي من 32 خطوة. وللحصول على دليل على أن حدود القدرات متعرجة — وأن بعض النماذج ذات 3.6 مليار بارامتر يمكن أن تضاهي Mythos في مهام محددة — راجع الحدود المتعرجة للأمن السيبراني للذكاء الاصطناعي: النماذج الصغيرة مقابل Mythos.

الخلاصة

يُعد تحديث Firefox 150 أحد أول العروض التوضيحية واسعة النطاق والموثقة علنًا لما يبدو عليه البحث عن الثغرات الأمنية بمساعدة الذكاء الاصطناعي على نطاق متطور. 271 إصلاحًا في دفعة واحدة، و423 على مدار الشهر، ضد قاعدة كود برمجية كانت تتمتع بالفعل بتغطية بشرية وفحص عشوائي (fuzzing) من النخبة — هذا هو المعيار الجديد. الرقم الرئيسي ليس 271؛ العنوان الحقيقي هو أن 268 من الثغرات التي أصلحتها Mozilla لن تحصل أبدًا على معرف CVE، وتقريبًا كل من يتتبع الذكاء الاصطناعي والأمن عبر خلاصات CVE سيبدأ قريبًا في تقدير الأرقام بأقل من حقيقتها.

بالنسبة لمطوري البرمجيات الحساسة، فإن الدلالة واضحة ومباشرة: الفجوة بين "نحن خضعنا لتدقيق جيد" و"لدينا مخاطر كامنة ملموسة" قد ضاقت للتو. لم يجد Mythos ثغرات كان الفحص العشوائي (fuzzing) على وشك اكتشافها في الأسبوع التالي، بل وجد ثغرات عجزت سنوات من الفحص العشوائي عن كشفها.