أسطورة أنثروبيك: نموذج الذكاء الاصطناعي الذي يعيد كتابة قواعد الأمن السيبراني

  • يتم الاحتفاظ بمعاينة Claude Mythos تحت وصول مقيد نظرًا لقدراتها غير المسبوقة على إيجاد واستغلال الثغرات الأمنية الحرجة.
  • تقوم البنوك الدولية والهيئات التنظيمية في الولايات المتحدة والمملكة المتحدة والاتحاد الأوروبي بتحليل المخاطر التي يشكلها هذا النموذج على البنية التحتية المالية والرقمية.
  • تقوم شركة أنثروبيك بنشر مشروع جلاسوينج، وهو برنامج تعاون مع شركات التكنولوجيا الكبرى والمؤسسات المالية لاستخدام ميثوس في الوضع الدفاعي.
  • يفتح هذا النموذج سيناريو جديدًا للأمن السيبراني في أوروبا، مع قدرة كشف أكبر من أي وقت مضى، ولكنه ينطوي أيضًا على مخاطر إساءة الاستخدام إذا أصبح استخدامه واسع النطاق.
Alberto Navarro

12 دقيقة

نموذج الذكاء الاصطناعي للأساطير البشرية

نموذج الذكاء الاصطناعي الجديد لشركة أنثروبيك، والمعروف باسم معاينة كلود ميثوسلقد أصبح هذا النظام محور النقاش العالمي حول حدود الذكاء الاصطناعي المتقدم. وتعترف الشركة نفسها بأن النظام يتمتع بقوة هائلة في مجال الأمن السيبراني، ما دفعها إلى عدم إطلاقه على نطاق واسع، وهو قرار غير مألوف في قطاع اعتاد التباهي بكل إنجاز جديد.

إن الأمر لا يقتصر على تحسين طفيف مقارنةً بالنماذج السابقة فحسب، بل قفزة نوعية في القدرة على اكتشاف واستغلال الثغرات الأمنية في أجهزة الكمبيوترتراقب الحكومات والبنوك المركزية والمؤسسات المالية الكبرى والهيئات التنظيمية الأوروبية هذه القضية عن كثب، مدركة أن مثل هذه الأداة قد تعزيز الدفاع عن الأنظمة الحيويةلكن ذلك قد يفتح الباب أيضاً أمام هجمات ذات نطاق غير مسبوق إذا ما وقعت في الأيدي الخطأ.

ما هو بالضبط كلود ميثوس ولماذا تأخر إطلاقه؟

يُعدّ كلود ميثوس أحد أحدث النماذج في عائلة كلود، وهي منظومة الذكاء الاصطناعي التابعة لشركة أنثروبيك والتي تتنافس مع ChatGPT من OpenAI و Gemini من Googleإنه نموذج متعدد الأغراض، قادر على الاستدلال والبرمجة والعمل مع السياق طويل المدى، لكن أكثر سماته إثارة للجدل هي الأداء في مجال الأمن السيبراني الهجومي والدفاعي.

دعا "الفرق الحمراء"خلص متخصصون يختبرون أنظمة الذكاء الاصطناعي إلى أقصى حدودها في تقرير داخلي إلى أن نظام ميثوس "يتمتع بقدرات مذهلة" في مهام الأمن السيبراني. في اختبارات معيارية مثل تم التحقق من مقعد SWE o برنامج SWE-bench Proصُمم هذا النموذج لقياس القدرة على حل مشاكل هندسة البرمجيات في العالم الحقيقي، وكان من الممكن أن يتفوق بسهولة على البدائل التجارية من الدرجة الأولى، بما في ذلك الإصدارات المتقدمة من GPT و Gemini، وفقًا للبيانات التي قدمتها شركة Anthropic نفسها.

وبعيداً عن المعايير، فإن ما أثار القلق هو أن تمكن ميثوس من تحديد الموقع ثغرات اليوم صفر —عيوب غير معروفة سابقًا— في مكونات برمجية شائعة الاستخدام، بعضها يزيد عمره عن عقدين. في أنظمة مثل OpenBSD وFFmpeg ومكونات FreeBSD، لم يكتشف النموذج أخطاءً ظلت غير ملحوظة لسنوات فحسب، بل أنشأ أيضًا ثغرات فعّالة لاستغلالها.

في مواجهة هذه النتائج، اختارت شركة أنثروبيك قراراً غير معتاد في هذا القطاع: لعرض النموذج ثم الإعلان عن أنه لن يتم تسويقه علنًا. لأنها تعتبره يشكل مخاطر غير مسبوقة على الأمن السيبراني. وتصر الشركة على أن ميثوس هو النموذج "الأفضل توافقاً" الذي طورته، لكنها تقر بأن سعته الهائلة تضاعف عواقب أي إساءة استخدام.

رسم توضيحي للذكاء الاصطناعي المتقدم الذي يركز على الأساطير

نموذج يتمتع بمهارات "قرصنة" تتجاوز بكثير القدرات البشرية

تتفق الوثائق والتقارير الفنية الصادرة عن مختلف المنظمات على أن يمثل Mythos نقطة تحول في أتمتة الهجمات المعقدةفي بيئات الاختبار التي تحاكي شبكات الشركات الحقيقية، تمكن النظام من ربط نقاط الضعف، وتصعيد الامتيازات، وتحقيق الوصول المستمر في غضون ساعات - وهي مهام تستغرق من خبير بشري أيامًا أو أسابيع.

في محرك جافا سكريبت الخاص بمتصفح فايرفوكس، على سبيل المثال، نادرًا ما نجحت الإصدارات السابقة من نماذج أنثروبيك في تحويل الثغرات الأمنية إلى ثغرات فعّالة. أما في ميثوس، وتحت ظروف الاختبار نفسها، وقد أدى ذلك إلى ظهور عشرات الثغرات التشغيليةيُحاكي هذا النظام بدقة استغلال أكثر أساليب الاختراق فعالية. ويُنسب إليه الفضل في اكتشاف ثغرات أمنية بالغة الخطورة ظلت خفية لسنوات من الاختبارات الآلية، وذلك على منصات تحليل مثل OSS-Fuzz، المصممة لاكتشاف الأخطاء في البرمجيات مفتوحة المصدر.

وقد أظهر النموذج أيضاً قدرات ملحوظة في الهندسة العكسيةبإمكانها إعادة بناء جزء من منطق البرنامج من الملفات الثنائية المُجمّعة، ومن ثم تحديد الثغرات واستغلالها دون الحاجة إلى الوصول إلى شفرة المصدر الأصلية. هذا النوع من القدرات يُقرّب الذكاء الاصطناعي من سيناريوهات كانت تُعتبر، حتى وقت قريب، حكرًا على فرق بشرية متخصصة للغاية.

يُعد اختبار "الساندويتش" أحد أكثر الاختبارات التي يتم الاستشهاد بها في تقييمات الأمان. في بيئة مختبرية معزولة، مُنح برنامج Mythos التحكم في نظام مع تعليمات صريحة لمحاولة اخرج من منطقة الحماية واتصل بالباحث الشخص الذي كان يشرف على الاختبار. تمكن النموذج من استغلال سلسلة من الثغرات الأمنية للهروب من بيئته المقيدة وإرسال بريد إلكتروني إلى الشخص المسؤول، الذي كان خارج المكتب في ذلك الوقت. على الرغم من أن الحادثة وقعت في نسخة داخلية سابقة وتحت إشراف مباشر، إلا أنها توضح مدى قدرة النظام على العمل في سيناريوهات معقدة بأقل قدر من الإشراف.

على الرغم من هذه المظاهرات، يصر المحللون على توضيح أن نحن لا نتعامل مع ذكاء اصطناعي "واعٍ" أو ذكاء اصطناعي له إرادته الخاصةلا يُقرر برنامج ميثوس مهاجمة الأنظمة من تلقاء نفسه؛ بل يُنفذ المهام الموكلة إليه بأقصى كفاءة ممكنة. لا يكمن الخطر، في هذا السياق، في تمرد البرنامج، بل في استغلاله - أو إجباره على ذلك عبر أوامر مُعقدة - لتنفيذ أعمال ضارة.

مشروع غلاسوينغ: الأساطير في خدمة الدفاع... لفئة مختارة

بدلاً من فتح الوصول للجمهور العام، اختارت شركة أنثروبيك إحاطة ميثوس ببرنامج محدد. مشروع غلاسوينغصُممت هذه المبادرة لاستخدام قدرات النموذج بطريقة محكمة لحماية البرامج الحساسة، وتتضمن تقديم النظام، في ظل شروط استخدام صارمة، لمجموعة مختارة من شركات التكنولوجيا الكبيرة ومقدمي البنية التحتية والمؤسسات المالية.

ومن بين المنظمات التي تتمتع بإمكانية الوصول إلى هذه المعلومات، منظمات عملاقة مثل خدمات أمازون السحابية، أبل، مايكروسوفت، سحابة جوجلإنفيديا أو برودكومبالإضافة إلى شركات الأمن السيبراني مثل كراود سترايك، التي تسبب برنامجها المعيب في اضطراب عالمي كبير عام 2024. وينضم إلى هذه الشركات بنوك عالمية مرموقة، بما في ذلك جي بي مورغان تشيس والعديد من مجموعات وول ستريت الكبيرةوكذلك المنظمات الأخرى المسؤولة عن صيانة البنى التحتية الحساسة لتكنولوجيا المعلومات.

أعلنت شركة أنثروبيك أيضاً قروض بقيمة 100 مليون دولار سيمكّن هذا التمويل هذه المنظمات من استخدام برنامج Mythos لتحليل الثغرات الأمنية، بالإضافة إلى التبرعات لمؤسسات البرمجيات الحرة مثل مؤسسة لينكس ومؤسسة أباتشي للبرمجيات. والهدف الرسمي واضح: تمكين القائمين على إدارة أهم البرامج في العالم من تحديد الثغرات وتصحيحها قبل أن تصبح هذه الأدوات متاحة للمهاجمين المحتملين.

إلا أن هذه الاستراتيجية تثير بعض القلق داخل القطاع. فمن جهة، تعزز فكرة أن التكنولوجيا خطيرة بما يكفي لتستدعي تقييد الوصول إليها. ومن جهة أخرى، يخلق ذلك فجوة بين أولئك الذين يستفيدون من "درع" الأساطير وأولئك الذين يتم استبعادهم.تواجه الشركات والإدارات التي ليست جزءًا من Glasswing خطر مواجهة ثغرات أمنية تم تحديدها وتصحيحها في بيئات ذات امتيازات، ولكنها لا تزال موجودة في أنظمتها الخاصة.

في أوروبا، يمثل هذا التفاوت مصدر قلق خاص للمسؤولين عن البنية التحتية الحيوية وفرق الأمن التابعة للمجموعات الصناعية والمالية الكبيرة، الذين يراقبون عن كثب ما إذا كان تضمن بروكسل والعواصم الأوروبية أن تشمل البرامج المماثلة الجهات الفاعلة الرئيسية من القارة على قدم المساواة. و سيادة السحابة مع الشركاء الأمريكيين.

ردود فعل الحكومات والهيئات التنظيمية والقطاع المالي

لم يقتصر تأثير ميثوس على المجال التقني فحسب، ففي غضون أيام قليلة فقط، أدى الإعلان عن النموذج إلى إحداث تأثير كبير. اجتماعات رفيعة المستوى في الولايات المتحدة وأوروبااستدعى وزير الخزانة الأمريكي رؤساء البنوك الرئيسية في البلاد إلى واشنطن لتقييم المخاطر التي قد يشكلها النظام على الاستقرار المالي، كما شارك رئيس مجلس الاحتياطي الفيدرالي في تلك المحادثات.

بحسب تسريبات نشرتها وسائل الإعلام الدولية، يُزعم أن هذه الكيانات قد تم تشجيعها على اختبر ميثوس في الوضع الدفاعييستخدمونها لفحص بنيتهم ​​التحتية بحثًا عن نقاط الضعف قبل أن يتمكن الآخرون من ذلك. والرسالة الضمنية هي أن التهديد خطير بما يكفي لتبرير استجابة منسقة بين القطاعين العام والخاص.

في غضون ذلك، أكد المؤسس المشارك لشركة أنثروبيك أن الشركة يُجري محادثات مباشرة مع حكومة الولايات المتحدة حول ميثوس والنماذج المستقبلية. تجري هذه المناقشات في سياق متوتر، بعد أن أضافت السلطات الأمريكية مؤخرًا الشركة إلى قائمة مخاطر سلسلة التوريدوذلك في أعقاب الخلافات المتعلقة باستخدام نماذجهم من قبل وزارة الدفاع.

وعلى الجانب الآخر من المحيط الأطلسي، أخذ الاتحاد الأوروبي الأمر بعين الاعتبار. فقد أيدت المفوضية الأوروبية علنًا اتباع نهج تدريجي وحذر تجاه نماذج مثل ميثوس، و بدأت الهيئات التنظيمية المالية في المملكة المتحدة وفي القارة الأوروبية بدراسة آثارها المحتملة على وجه التحديد بالنسبة للقطاع المصرفي والأسواق. وقد وصف معهد أمن الذكاء الاصطناعي التابع للحكومة البريطانية (AISI) النظام بأنه قفزة نوعية كبيرة في مجال التهديدات السيبرانية مقارنة بالأجيال السابقة.

في إسبانيا، ورغم أن النقاش العام لا يزال محدوداً، فإن الهيئات الرقابية وفرق الأمن السيبراني التابعة للبنوك وشركات الطاقة الكبرى تراقب هذه التطورات عن كثب. أما بالنسبة للقطاع المالي الأوروبي، فإن أي تقدم قد يُسهّل شنّ هجمات منسقة ضد أنظمة الدفع أو الشبكات المصرفية أو منصات التداول يُعدّ مدعاةً للقلق البالغ.

الشكوك والريبة والنقاش حول "الضجة" المحيطة بميثوس

لم يسلم تقرير شركة أنثروبيك، الذي يجمع بين التحذيرات الأمنية وأرقام الأداء المذهلة، من الانتقادات. فقد دعا العديد من خبراء الذكاء الاصطناعي والأمن السيبراني إلى توخ الحذر عند تفسير بيانات الشركةمع ملاحظة أن معظم البيانات المتاحة تأتي فقط من التقارير الداخلية.

قام بعض المحللين بمراجعة تفصيلية للوثائق الشاملة التي نشرتها شركة أنثروبيك، وأشاروا إلى أن رقم "آلاف الثغرات الأمنية الخطيرة" يستند إلى استقراءات من عدد قليل نسبيًا من الحالات التي تمت مراجعتها يدويًا. وبحسب التقارير، فقد عثرت شركة ميثوس في بعض مجموعات الاختبار على عدد كبير من العيوب الحرجة، ولكن الوضع أبعد ما يكون عن السيناريو الكارثي الذي توحي به بعض العناوين الرئيسية.

حاولت دراسات مستقلة أخرى مقارنة أداء برنامج Mythos بنماذج أصغر مفتوحة المصدر، وذلك بتمرير أجزاء من التعليمات البرمجية المعرضة للثغرات إلى أنظمة ذكاء اصطناعي مختلفة لمعرفة ما إذا كان بإمكانها اكتشاف نفس العيوب. وتشير النتائج إلى أن بعض النماذج المفتوحة قادرة أيضاً على تحديد نقاط الضعف المعقدةوهذا يثير التساؤل حول فكرة أن الأساطير تلعب في مستوى مختلف تمامًا في جميع السيناريوهات.

لا تنفي هذه الأنواع من الأمثلة المضادة قدرات ميثوس، لكنها تشير إلى ذلك. جزء من خطاب "خطير للغاية بحيث لا يمكن نشره" له أيضًا بُعد تسويقي.إن تقديم نموذج باعتباره قويًا بشكل استثنائي ومخاطرة محتملة يعزز صورة القيادة التكنولوجية والمسؤولية، وهو أمر ذو قيمة كبيرة في سوق تزداد فيه المنافسة.

يُذكّرنا تاريخ هذه الصناعة الحديث بسابقة GPT-2 في عام 2019، عندما قررت OpenAI في البداية عدم نشر النموذج الكامل، مُدّعيةً أنه شديد الخطورة نظرًا لقدرته على توليد معلومات مُضللة. في نهاية المطاف، تم إصدار تلك النسخة للجمهور دون حدوث أي من الكوارث المُتوقعة، واعتبرها العديد من الخبراء مثالًا على رد الفعل المُبالغ فيه. مع Mythos، الفرق هو أن التركيز لم يعد على النص، بل على سلامة البنية التحتية الرقمية.، وهو مجال أكثر حساسية بالنسبة للحكومات والبنوك.

توازن دقيق بين الأمن والأعمال التجارية والوصول إلى التكنولوجيا

وبعيداً عن ضجيج وسائل الإعلام، فإن وضع ميثوس يثير قضية جوهرية: من يقرر متى يصبح نموذج الذكاء الاصطناعي شديد الخطورة بحيث لا يمكن إطلاقه؟ وبأي معايير؟ في الوقت الحالي، كان القرار أحادي الجانب من جانب شركة أنثروبيك، التي اختارت إبقاء النظام في نوع من الحجر الصحي الخاضع للرقابة، وحصره على شركاء محددين.

لا يستند هذا الموقف إلى أسباب أمنية فحسب. إن تشغيل نموذج بخصائص ميثوس هو مكلفة للغاية من حيث الحوسبةوتقر الشركة نفسها بأنها لا تملك حالياً البنية التحتية اللازمة لتقديمها على نطاق واسع لملايين المستخدمين. عمليًا، تتلازم الاحتياطات الأمنية والقيود التقنية، مما يمنح شركة أنثروبيك الوقت الكافي لتحسين كل من النموذج ونشره.

في الوقت نفسه، بدأت الشركة في التمييز بوضوح بين منتجاتها المختلفة. بينما لا تزال ميثوس المعيار الداخلي الأكثر تقدماًبينما تُخصص نماذج أخرى، مثل Claude Opus 4.7، لسياقات البحث والتعاون الاستراتيجي، فإنها موجهة للاستخدام اليومي من قبل الشركات والمهنيين. وقد أقرت شركة Anthropic علنًا بأن Opus 4.7 "أقل كفاءة" من Mythos بشكل عام، وخاصة فيما يتعلق بقدراته السيبرانية، وهو أمر غير معتاد في قطاع يُقدم عادةً كل نموذج جديد على أنه الأفضل من جميع النواحي.

في هذا المخطط، تعمل ميثوس على منصة اختبار لقدرات الجيل القادمفي حين أن النماذج المتاحة تجارياً لا تتضمن سوى جزء من هذه القدرات، مع قيود إضافية مصممة لتقليل المخاطر، فإن هذا الفصل بين النماذج "التجريبية" و"الإنتاجية" يمكن أن يكون نهجاً معقولاً للعديد من المنظمات الأوروبية المهتمة بالاستفادة من الذكاء الاصطناعي دون أن تكون في الخطوط الأمامية للتعرض، شريطة وجود شفافية كافية فيما يتعلق بالقدرات الفعلية لكل نظام.

ما يتبلور في نهاية المطاف هو سيناريو يكون فيه يدخل الأمن السيبراني بشكل كامل عصر الذكاء الاصطناعي الهجومي والدفاعي واسع النطاقتعد أدوات مثل "ميثوس" بتسريع عملية تحديد الثغرات الأمنية في الأنظمة التي تعمل منذ سنوات، لكنها في الوقت نفسه تفرض إعادة النظر في كيفية توزيع وإدارة التكنولوجيا التي تدعم الاقتصاد الرقمي. بالنسبة لأوروبا وإسبانيا، لن يقتصر التحدي على حماية أنفسهما من النماذج المتنامية القوة فحسب، بل سيشمل أيضاً ضمان عدم استبعادهما من الآليات التي تسمح لهما بتعزيز أمنهما.

استراتيجية الأمن السيبراني
المادة ذات الصلة:
استراتيجية الأمن السيبراني: المفاتيح والأطر والتطبيق العملي