أعلنت شركة مايكروسوفت موقفاً صارماً لصالح مبدأ الإفصاح المنسق عن الثغرات (CVD)، داعيةً الباحثين الأمنيين إلى مشاركة نتائجهم مع الشركات المتأثرة قبل نشرها علناً، وذلك لإتاحة الفرصة لفهم التأثير ومعالجته. يأتي هذا الموقف بعد قيام الباحث المعروف باسم Chaotic Eclipse أو Nightmare-Eclipse بالكشف عن تفاصيل عدة ثغرات صفرية في مكونات مختلفة من نظام ويندوز، بينها Defender وBitLocker، متهماً مايكروسوفت بسوء إدارة عملية الإفصاح.
وقالت الشركة: “في الأسابيع الأخيرة، تم الكشف علناً عن عدة ثغرات صفرية دون مشاركتها معنا مسبقاً، ما وضع عملاءنا في خطر غير ضروري.”
ثغرات تحت الاستغلال النشط
من بين الثغرات التي كشف عنها الباحث: BlueHammer (CVE-2026-33825)، RedSun (CVE-2026-41091)، UnDefend (CVE-2026-45498)، YellowKey (CVE-2026-45585)، إضافة إلى GreenPlasma وMiniPlasma.
وقد أكدت مايكروسوفت أن بعض هذه الثغرات، مثل BlueHammer وRedSun وUnDefend، دخلت بالفعل مرحلة الاستغلال النشط من قبل مهاجمين في العالم الواقعي، ما يضاعف خطورة نشر تفاصيلها مع شيفرات إثبات المفهوم قبل إصدار تحديثات أمنية.
تصعيد بين الباحث والشركة
رداً على هذه التطورات، قامت منصة GitHub بإزالة حساب الباحث الأسبوع الماضي، قبل أن يحاول إنشاء حساب جديد على GitLab لنشر الشيفرات، لكن الحساب الجديد تم حظره أيضاً.
في منشور لاحق، اتهم الباحث مايكروسوفت بالإهانة والتشهير قائلاً: “أنتم تسيئون لي علناً عبر نشر استشارات أمنية مرتبطة بالثغرات التي أبلغتكم بها، ثم تحذفون حسابي وتمنعونني من التواصل، رغم أنني لم أتلق أي مقابل مالي.”
وأضاف الباحث أنه يعتزم نشر شيء في 14 يوليو 2026 “سيضمن أن عظامكم ستتحطم في ذلك اليوم”، في تهديد صريح يعكس تصاعد الأزمة بين الطرفين.
انعكاسات على مجتمع الأمن السيبراني
تؤكد مايكروسوفت أن نشر تفاصيل الثغرات غير المنسق يفتح الباب أمام استغلالها من قبل جهات خبيثة، مشيرة إلى أن الإفصاح يجب أن يتم عبر قنوات آمنة تتيح معالجة الثغرات قبل وصولها إلى العامة.
في المقابل، يرى بعض الباحثين أن الشركات الكبرى لا تتعامل بجدية مع تقارير الثغرات، ما يدفعهم إلى النشر العلني كوسيلة ضغط. هذا الجدل يعكس التوتر المستمر بين الباحثين الأمنيين والشركات التقنية حول آليات الإفصاح، ويطرح تساؤلات حول التوازن بين حماية المستخدمين وحق الباحثين في الاعتراف بجهودهم.
