تقول مايكروسوفت إن نظام ذكاء اصطناعي يضم أكثر من 100 وكيل اكتشف 16 ثغرة في ويندوز

مايكروسوفت تدفع بالذكاء الاصطناعي الوكالي إلى الأمن الدفاعي

تقول مايكروسوفت إنها بنت نظاما لاكتشاف الثغرات مدعوما بالذكاء الاصطناعي لا يعتمد على نموذج واحد، بل على سرب منسق من الوكلاء المتخصصين. النظام، المسمى MDASH، وهو اختصار لـ Multi-Model Agentic Scanning Harness، يستخدم أكثر من 100 وكيل لتحليل البرمجيات، ومناقشة العيوب المحتملة، ومحاولة التحقق مما إذا كانت الأخطاء المشتبه بها قابلة للاستغلال فعلا.

وبحسب مايكروسوفت، فقد حقق هذا النهج بالفعل نتائج داخل واحدة من أكثر البيئات صعوبة في التدقيق: حزمة البرمجيات الخاصة بها. في Patch Tuesday يوم 12 مايو 2026، أعلنت الشركة عن 16 ثغرة في ويندوز اكتشفها MDASH في مكونات الشبكات والمصادقة. وصُنفت أربع منها على أنها حرجة. وشملت المكونات المتأثرة مكون النواة

tcpip.sys وخدمة IKEv2 في

ikeext.dll و

netlogon.dll و

dnsapi.dll.

خط أنابيب صُمم للاختلاف

تكتسب البنية التي وصفتها مايكروسوفت أهمية لا تقل عن عدد الثغرات. يعمل MDASH عبر أربع مراحل. أولا، يحلل الشيفرة المصدرية ويرسم سطح الهجوم. ثم تقوم مجموعة من وكلاء التدقيق بمسح الأنماط المشبوهة أو مسارات الشيفرة عالية المخاطر. في المرحلة الثالثة، تتجادل مجموعة أخرى من الوكلاء، الموصوفين بوكلاء المناظرة، حول ما إذا كانت كل نتيجة مرجحة أن تكون حقيقية وقابلة للاستغلال. وأخيرا، يحاول ما يسمى بوكلاء Evidence Leader إحداث المشكلة باستخدام مدخلات محددة.

تهدف هذه البنية إلى حل مشكلة مألوفة في الفحص الأمني الآلي: الإيجابيات الكاذبة. يمكن لأدوات الأمن أن تولد أعدادا كبيرة من التنبيهات المحتملة ولكن قليلة القيمة. ومن خلال إلزام الوكلاء المتخصصين بتحدي مزاعم بعضهم بعضا قبل الانتقال إلى محاولات الاستغلال، تقدم مايكروسوفت MDASH كنظام يرشح الضجيج بدلا من مجرد تضخيمه.

لماذا ترى مايكروسوفت أن هذا النهج مختلف

أحد حجج مايكروسوفت هو أن قاعدة الشيفرة الداخلية لديها تمثل اختبارا مفيدا بشكل خاص. فـWindows وHyper-V وAzure منتجات مملوكة، ولذلك فهي غير موجودة في بيانات التدريب العامة. وهذا يعني أن النظام لا يستطيع ببساطة إعادة إنتاج أمثلة محفوظة من مستودعات مفتوحة المصدر. وإذا كان يعثر على مشكلات حقيقية في شيفرة مغلقة، فيمكن لمايكروسوفت أن تدعي بشكل معقول أن النظام يقوم بالتحليل لا بالاسترجاع.

وتقول الشركة أيضا إن خط الأنابيب مستقل عن النموذج. فعندما يتوفر نموذج جديد، يمكن استبداله في الإعدادات من دون إعادة تصميم النظام بأكمله. ويمكن للخبراء أيضا إضافة إضافات تتضمن معرفة خاصة بالمجال، مثل اصطلاحات استدعاء النواة أو حدود الثقة في الاتصال بين العمليات، ما يسمح للنظام بالعمل بسياق تقني لا يمتلكه النموذج الأساس العام بطبيعته.

ما الذي اكتشفه MDASH

تقول الشركة إن MDASH كشف 16 ثغرة جديدة في حزمة الشبكات والمصادقة في ويندوز. ويؤثر 10 من أصل 16 على وضع النواة، ويمكن الوصول إلى معظمها عبر الشبكة من دون مصادقة. هذه السمات تجعل النتائج أكثر خطورة من مجرد قائمة أخطاء عادية. فثغرات النواة قد تحدث أثرا واسعا على النظام، في حين أن قابلية الوصول عن بعد عبر الشبكة ترفع قيمة الاستغلال بالنسبة للمهاجمين.

وصنفت مايكروسوفت أربع ثغرات من المكتشفة على أنها حرجة. ومن منظور أمني، هذا هو أقوى دليل عملي على فائدة النظام. قد يجذب أداء الاختبارات المعيارية الانتباه، لكن الأخطاء الحرجة في البرمجيات الإنتاجية أهم.

الريادة في الاختبارات المعيارية، مع بعض التحفظات

تقول مايكروسوفت إن MDASH سجل 88.45% في الاختبار المعياري العام CyberGym، وهو أعلى نتيجة جرى الإبلاغ عنها حتى الآن. وهذا يمنح الشركة ادعاء قابلا للقياس بالريادة التقنية في هذه الفئة الناشئة من أدوات الأمن الوكالية. لكن المقارنة ليست مباشرة تماما. لم تكشف مايكروسوفت عن النماذج الدقيقة التي تشغل النظام، كما أن ظروف الاختبارات المعيارية لا تنتقل دائما بصورة مباشرة إلى تعقيد بيئات البرمجيات الواقعية.

ومع ذلك، يدعم هذا الناتج اتجاها أوسع. فالبحث الأمني يتحرك بعيدا عن المطالبات الفورية الفردية نحو أنظمة منسقة تتقاسم فيها نماذج أو وكلاء متعددون العمل، وينتقد بعضهم بعضا، ويختبرون الفرضيات بشكل تكراري. ويعد MDASH جزءا من هذا التحول، ويشير تصميمه إلى أن مايكروسوفت ترى أن النقاش والتحقق، وليس مجرد تلخيص الشيفرة، هما مفتاح العمل الأمني الآلي العملي.

لماذا يهم ذلك خارج مايكروسوفت

إذا صحت رواية مايكروسوفت، فإن MDASH يقدم لمحة عن كيفية تغير أمن المؤسسات. فالبائعون الكبار يحتفظون بقواعد شيفرة هائلة يصعب على الفرق البشرية تدقيقها بشكل شامل. وقد تصبح الأنظمة الوكالية القادرة على المسح المستمر، والاعتراض، والتحقق من النتائج مضاعفا للقوة في برامج الأمن الداخلية، خاصة حين تمنع الشيفرة المملوكة الاعتماد المكثف على نماذج مدربة على بيانات عامة.

وهناك أيضا دلالة تشغيلية. وبما أن النظام مستقل عن النموذج، فإن التحسينات في النماذج الأساسية يمكن أن تتراكم بسرعة. ولن يحتاج نموذج لغوي أفضل إلى استبدال سير العمل؛ بل يمكنه أن يندمج في خط أنابيب راسخ يعرف بالفعل كيف يوزع المهام ويتحقق من المخرجات.

حتى الآن، أقوى دليل لدى مايكروسوفت ملموس: 16 ثغرة في ويندوز أعلنت عنها، من بينها أربع ثغرات حرجة، اكتشفها نظام متعدد الوكلاء تقول الشركة إنه يستطيع الاستدلال عبر برمجيات مغلقة المصدر. ولم تكشف الشركة عن كل تفاصيل التنفيذ، وسترغب الصناعة الأوسع في مزيد من التحقق المستقل. لكن الإشارة واضحة بما يكفي. إن صيد الثغرات بالذكاء الاصطناعي ينتقل من مرحلة الحداثة الاستعراضية إلى هندسة الأمن الإنتاجية.

هذه المقالة مبنية على تقرير من The Decoder. اقرأ المقال الأصلي.