شهد الأسبوع الأول من يونيو 2026 حدثاً لافتاً في عالم الأمن السيبراني، حيث أعلنت شركة ناشئة متخصصة في الأمن عن اكتشاف 21 ثغرة صفرية جديدة في مكتبة FFmpeg، وهي المكتبة التي تُستخدم في معظم التطبيقات والأنظمة التي تتعامل مع الفيديو. المثير أن هذه الثغرات لم يكتشفها باحثون بشريون، بل تم رصدها بواسطة وكيل أمني مستقل يعمل بالذكاء الاصطناعي طورته شركة depthfirst.
الوكيل الأمني قام بمسح نحو 1.5 مليون سطر برمجي مكتوب بلغة C، ونجح في إنتاج مدخلات تجريبية قابلة للتكرار لكل ثغرة. بعض هذه الأخطاء كانت كامنة منذ أكثر من 20 عاماً، مثل ثغرة تجاوز سعة المكدس في كود “service-description-table” التي تعود إلى عام 2003 وظلت غير مكتشفة طوال 23 عاماً. معظم الثغرات المكتشفة تتعلق بتجاوزات في الذاكرة heap أو stack داخل وحدات التحليل وفك التشفير، مثل TS demuxer وVP9 decoder. وقد حصل تسعة منها بالفعل على معرفات CVE رسمية (CVE-2026-39210 حتى CVE-2026-39218)، بينما البقية تم إصلاحها ولم تُمنح أرقاماً بعد.
جوجل كروم يسجل رقماً قياسياً في الإصلاحات
في نفس الأسبوع، أصدرت جوجل الإصدار Chrome 149 الذي تضمن إصلاحاً لـ 429 ثغرة أمنية، وهو أكبر عدد من الثغرات يتم ترقيعه في إصدار واحد على الإطلاق. أكثر من 100 من هذه الثغرات مصنفة عالية أو حرجة، معظمها من نوع “use-after-free” أو ضعف في التحقق من المدخلات. أخطرها كانت الثغرة CVE-2026-10881 بتقييم خطورة 9.6، وهي ثغرة في محرك الرسوميات ANGLE تسمح لصفحة مصممة خصيصاً بتجاوز العزل وتشغيل تعليمات برمجية على المضيف. جوجل دفعت مكافأة قدرها 97 ألف دولار مقابل هذا الاكتشاف.
اللافت أن معظم الثغرات الحرجة اكتشفتها فرق داخلية في جوجل، حيث أن 19 من أصل 22 ثغرة حرجة كانت من اكتشاف الشركة نفسها، بينما ساهم الباحثون الخارجيون بنسبة أقل بكثير. هذا يعكس أن حجم البلاغات المتزايد الناتج عن أدوات الذكاء الاصطناعي دفع جوجل إلى إعادة هيكلة برنامج المكافآت في أبريل الماضي، بحيث تطلب الشركة الآن إثباتات قصيرة قابلة للتكرار بدلاً من تقارير مطولة غالباً ما تنتجها أدوات الذكاء الاصطناعي.
دور الذكاء الاصطناعي في تسريع الكشف
الاكتشافات الأخيرة تؤكد أن الذكاء الاصطناعي أصبح لاعباً أساسياً في مجال البحث عن الثغرات الأمنية. فبينما كانت عملية العثور على ثغرات معقدة تستغرق شهوراً أو سنوات، باتت الأدوات المستقلة قادرة على إنتاج نتائج مؤكدة خلال أيام وبكلفة منخفضة نسبياً (نحو 1000 دولار في حالة FFmpeg). هذا الاتجاه ظهر أيضاً في أبحاث سابقة، مثل اكتشاف أداة مستقلة لثغرة تنفيذ أوامر عن بُعد في Redis استمرت غير مكتشفة لأكثر من عامين، وكذلك دراسة في فبراير أثبتت أن وكيل ذكاء اصطناعي تمكن من إعادة إنتاج إثباتات عمل لأكثر من نصف 100 ثغرة في نواة لينكس، متفوقاً على تقنيات “fuzzing” التقليدية.
توصيات عاجلة للمستخدمين والمؤسسات
بالنسبة لـ FFmpeg، يُنصح بسحب النسخة المحدثة من المصدر أو من توزيعات النظام فور صدور التحديثات، مع إعطاء الأولوية لأي مكون يتعامل مع بيانات غير موثوقة مثل RTSP أو AV1-over-RTP. نظراً لأن FFmpeg مدمج في العديد من الحزم والأنظمة (من مكتبات بايثون إلى صور الحاويات والأجهزة المدمجة)، فإن التحديث يجب أن يشمل جميع النسخ المدمجة وليس فقط الحزم النظامية.
أما بالنسبة لـ Chrome، فيجب التحديث إلى الإصدار 149.0.7827.53 على لينكس أو 149.0.7827.53/54 على ويندوز وماك، أو التأكد من أن التحديث التلقائي قد تم بالفعل. التحدي الأكبر الآن يكمن في مواكبة هذا الإيقاع السريع: دورات ترقيع أقصر، تحديثات تلقائية حيثما أمكن، ومعاملة تحديثات الاعتمادات التي تحمل إصلاحات CVE كعمل أمني أساسي وليس مجرد صيانة روتينية.
كلمات مفتاحية:, ثغرات صفرية, CVE-2026-39210, Chrome 149, CVE-2026-10881, depthfirst, أمن البرمجيات, الذكاء الاصطناعي, Google, تحديثات أمنية, تجاوز الذاكرة, ANGLE graphics engine
