أثار نموذج يُعرف باسم Mythos جدلاً واسعًا في مجتمع الأمن السيبراني، حيث اعتبره البعض مجرد حملة دعائية، بينما يرى خبراء أنه يمثل تهديدًا حقيقيًا. فبدلًا من اكتشاف ثغرة واحدة تقليدية، يعتمد النموذج على سلاسل معقدة من الثغرات الصغيرة التي تُكتشف عادةً عبر أدوات الفحص الآلي (SAST)، ليحوّلها إلى هجمات أكثر خطورة. هذا النوع من الإبداع في استغلال الثغرات يشبه ما يُعرف في الذكاء الاصطناعي بـ”النقلة 37″، أي خطوة غير متوقعة تغير قواعد اللعبة.
مأزق التشريعات أمام البرمجيات المفتوحة
واشنطن تتابع هذه التطورات منذ فترة، لكنها تواجه معضلة تنظيمية: إذا فرضت قيودًا صارمة، قد تنتقل الأبحاث إلى الصين أو دول أخرى، وإذا تجاهلت الأمر، قد تُنتج شركات أمريكية أدوات تتحول إلى أسلحة ضد البنية التحتية الحرجة. يشبه الوضع أبحاث “اكتساب الوظائف” في الفيروسات، حيث لا يمكن ضبط ما يُنشر عالميًا عبر الإنترنت. أوروبا حاولت عبر قانون المرونة السيبرانية (CRA)، لكن الواقع يؤكد أن البرمجيات مفتوحة المصدر لا يمكن إخضاعها للقوانين التقليدية.
استهلاك مفتوح المصدر: نموذج مكسور
المشكلة الجوهرية تكمن في طريقة استهلاك البرمجيات مفتوحة المصدر. التطبيقات الحديثة تعتمد على طبقات من المكتبات والاعتمادات، وأي خلل في واحدة منها قد يُحدث سلسلة من الأعطال. ومع دخول الذكاء الاصطناعي على خط الهجمات، أصبح التسرع في تثبيت التحديثات دون مراجعة دقيقة خطرًا بحد ذاته، إذ قد يؤدي إلى تثبيت برمجيات خبيثة بدلًا من إصلاح الثغرة.
من جهة أخرى، غالبية المشاريع الحرجة تُدار من قبل مطورين أفراد أو فرق صغيرة بلا عقود أو التزامات، ما يجعل الاستجابة للثغرات غير مضمونة. أنظمة الإفصاح المنسق عن الثغرات لم تعد قادرة على مواكبة الكم الهائل من الاكتشافات التي يمكن أن تُنتجها النماذج الحديثة بين ليلة وضحاها.
الحلول المقترحة: الإفصاح والتفرع
يطرح الخبراء خطتين أساسيتين:
- الخطة أ: إنشاء جهة موحدة وموثوقة تتولى الإفصاح المنسق عن الثغرات ودعم المطورين، بدلًا من تعدد الجهات وإغراقهم بتقارير متكررة. الهدف هو رفع نسبة الاستجابة إلى نحو 50% من المشاريع على الأقل.
- الخطة ب: التعامل مع المشاريع غير المستجيبة عبر آلية “المُشرف الأخير”، أي تفرع (Fork) المشاريع وصيانتها بشكل مركزي لضمان استمرارها. هذه الخطوة قد تكون مؤلمة وتثير خلافات، لكنها ضرورية لتجنب الفوضى والتجزئة.
ثلاثة سيناريوهات محتملة
المستقبل أمام البرمجيات مفتوحة المصدر يتجه نحو ثلاثة مسارات:
- السيناريو الساذج: الاعتماد على الأمل بأن كل شيء سيُدار بسلاسة، وهو غير واقعي.
- السيناريو الفوضوي: كل مزود خدمات أو شركة أمنية تُنشئ نسختها الخاصة من المكتبات، ما يخلق تضاربًا وفوضى في التحديثات.
- السيناريو الصعب (Hard Fork): قرار منسق لبناء بنية تحتية جديدة للثقة، تشمل قناة إفصاح واحدة ومكان موحد لإدارة التفرعات وصيانتها. هذا الخيار هو الأصعب لكنه الوحيد القابل للتطبيق.
