أخبار ar.wedoany.com، في مجال الأمن السيبراني الصناعي والأمن المادي لهذا الأسبوع، شرح تشاك ديفيس، نائب الرئيس العالمي لأمن المعلومات في شركة هايكفيجن (Hikvision)، في مقابلة كيفية تطبيق مفهوم الثقة الصفرية على أنظمة الأمن المادي مثل الكاميرات وأجهزة التحكم في الأبواب، مشيراً إلى أن هذه الأجهزة يجب أن تُعتبر أصولاً لتقنية المعلومات، وتحتاج إلى اتخاذ قرارات الثقة على الحافة دون إعادة بناء افتراضات الحدود القديمة، ومذكراً بالدروس المستفادة من هجمات بوت نت ميراي (Mirai). وفي مقابلة أخرى، تحدث أفاني ديساي، الرئيس التنفيذي لشركة شيلمان (Schellman)، عن الفجوة بين تصور المؤسسات لبياناتها والنتائج الفعلية لعمليات المسح، بما في ذلك المفاجآت مثل البيانات المخفية في التخزين السحابي المهجور، ومجموعات البيانات المكررة بعد عمليات الدمج التي تبطئ التكامل. أما مارك روبيناشيو، رئيس قسم الأمن السيبراني والامتثال في شركة سيكيورفريم (Secureframe)، فحلل الأخطاء الشائعة التي ترتكبها فرق الأمن أثناء التحضير لشهادتي CMMC وFedRAMP 20x، بما في ذلك فحص 110 متطلباً مع إغفال 320 هدف تقييم تحتها. وفيما يتعلق بـ إدارة الثغرات في بيئات التصنيع الفعلية، أشارت وجهة نظر إلى أن الثغرات من المستوى 10 في نظام CVSS لا يمكن تصحيحها ببساطة في بيئات OT أو ICS، ويجب التحول من التركيز على الثغرات الحرجة إلى إدارة المخاطر القابلة للتحكم.

شهد مجال أمن الذكاء الاصطناعي تطورات مكثفة. كشف تقييم مستقل لـ 100 وكيل ذكاء اصطناعي إنتاجي أن 11% فقط اجتازوا عتبة الأمان، وأن جميع الوكلاء تقريباً يمكن السيطرة عليهم بواسطة مستند ضار واحد. أصدرت منظمة OWASP أداة Agent Memory Guard، وهي طبقة دفاعية مفتوحة المصدر تعمل في وقت التشغيل بين الوكيل وذاكرته، وتقوم بتصفية كل عملية قراءة وكتابة عبر أنابيب كشف وسياسات YAML، وهي تمثل التنفيذ المرجعي لمعيار OWASP ASI06 (تسميم الذاكرة). أطلقت مؤسسة لينكس (Linux Foundation) مشروع DNS-AID، الذي يسمح لوكلاء الذكاء الاصطناعي باكتشاف بعضهم البعض والتحقق من هوياتهم عبر نظام DNS. قام باحثون من جامعة تورنتو ومعهد فيكتور (Vector Institute) وجامعة كامبريدج ببناء واختبار دودة إثبات مفهوم مدفوعة بالذكاء الاصطناعي، تقوم بتحليل كل هدف عبر نموذج لغوي كبير (LLM) صغير يعمل على الأجهزة المخترقة، واستنتاج كيفية الهجوم وإنشاء استراتيجيات فورية. أداة AgentGG هي ماسح SAST مفتوح المصدر لوكلاء الذكاء الاصطناعي، تم إصدارها بموجب ترخيص Apache 2.0. أما Agent Threat Rules (ATR) فهي تنسيق قواعد كشف مفتوح موجه لتهديدات أمان وكلاء الذكاء الاصطناعي. وسعت شركة أنثروبيك (Anthropic) برنامجها للأمن السيبراني Project Glasswing ليشمل أكثر من 150 منظمة في أكثر من 15 دولة. قامت أداة إدارة الثغرات في Microsoft Defender بتحديث نموذج تسجيل التعرض، مضيفة إشارات مخاطر الثغرات وسياق الأصول. كما أطلقت مايكروسوفت وكيل Microsoft Scout، لتبدأ فئة جديدة من الطيار الآلي الدائم التشغيل. توسعت وظائف Codex المعرفية لتشمل البحث والتقارير وجداول البيانات. قامت NVIDIA بنشر مجموعة كبيرة من أدوات وكلاء الذكاء الاصطناعي الفيزيائي مفتوحة المصدر، بهدف تبسيط تطوير الروبوتات والمركبات ذاتية القيادة والتوائم الرقمية الصناعية. أصدرت ETSI المواصفة TS 104 033، التي تحدد متطلبات الأمان لمنصات الحوسبة للذكاء الاصطناعي. تخطط مؤسسة Let's Encrypt لتحقيق أمان Web PKI مقاوم للحواسيب الكمية عبر شهادات شجرة ميركل (MTCs). قام فريق بحثي ببناء هجوم يُدعى BadBone، يزرع باباً خلفياً في النماذج الأساسية، مما يجعل المهام النهائية ترث هذا الباب الخلفي.

فيما يتعلق بالثغرات والهجمات، تعرضت ثغرة تجاوز المصادقة في جدران الحماية من شركة بالو ألتو نيتووركس (Palo Alto Networks) (CVE-2026-0257) التي تم الكشف عنها في 13 مايو، لمحاولات استغلال محدودة، ولكن لم يتم ملاحظة أي حركة جانبية ناجحة. حذر المركز البلجيكي للأمن السيبراني (CCB) من أن ثغرة تنفيذ التعليمات البرمجية عن بعد في Windows Netlogon (CVE-2026-41089) يتم استغلالها بنشاط في البيئات الحقيقية، وهي ثغرة عبارة عن تجاوز سعة المخزن المؤقت المستند إلى المكدس في Netlogon. يتم استغلال ثغرة رفع الامتياز غير المصححة من نوع 0-day في أداة Cisco Catalyst SD-WAN Manager (CVE-2026-20245) من قبل المهاجمين. أصدرت جوجل تحديث أمان أندرويد لشهر يونيو 2026، والذي أصلح عدة ثغرات بما في ذلك ثغرة عالية الخطورة في إطار عمل أندرويد (CVE-2025-48595)، والتي قد تتعرض لاستغلال محدود وموجه. أشارت جهة تنظيمية فيدرالية أمريكية إلى أن المعهد الوطني للمعايير والتقنية (NIST) فشل في إدارة التراكم المتزايد للثغرات غير المعالجة في قاعدة البيانات الوطنية للثغرات (NVD). أدى هجوم تخمين كلمات المرور (Brute Force) إلى تعليق حسابات في مدير كلمات المرور Dashlane، وكشفت Dashlane لاحقاً أن المهاجمين حصلوا على خزائن كلمات مرور مشفرة لبعض حسابات المستخدمين. اكتشف باحثو شركة ماكافي (McAfee) عملية ضارة كخدمة (MaaS) تُدعى WeedHack تستهدف مستخدمي لعبة ماينكرافت (Minecraft)، وأصابت أكثر من 116,000 نظام. تسربت بيانات خدمة الغش في لعبتي Grand Theft Auto V وCounter-Strike 2 المسماة Atlas Menu، مما كشف حوالي 64,000 حساب. ألقت الشرطة الوطنية الإسبانية القبض على رجل في غرناطة بتهمة تسريب بيانات شخصية لأعضاء هيئات وطنية حساسة. أضافت شركة ميتا (Meta) حواجز حماية أكثر صرامة لخلاصات المحتوى المخصصة للمراهقين على منصاتها. حذر مكتب التحقيقات الفيدرالي (FBI) من أن مجرمي الإنترنت ينتحلون هوية موقع الفيفا (FIFA) قبل كأس العالم لتنفيذ عمليات احتيال. نشرت شركة أنثروبيك (Anthropic) تحليلاً لاستخدام الذكاء الاصطناعي في تحليل الانتهاكات السيبرانية، حيث فحصت 832 حساباً تم تعطيلها بسبب أنشطة ضارة على الشبكة وقامت بتصنيفها وفق إطار عمل MITRE ATT&CK. أكدت شركة Dashlane أن هجوم تخمين كلمات المرور أدى إلى قفل الحسابات ومشاكل في المصادقة.

فيما يتعلق بالنظام البيئي للصناعة والسياسات، أقرت الهيئات التشريعية في الولايات الأمريكية خلال عام 2025 حوالي 145 قانوناً متعلقاً بالذكاء الاصطناعي، بالإضافة إلى اقتراح أو تعديل أكثر من 1,000 مشروع قانون. تعاني المنظمات في الاتحاد الأوروبي من ضغوط متزايدة مع توسع أطر العمل مثل NIS2 وDORA. أصبحت نماذج OpenAI المتطورة وأداة Codex متاحة الآن على منصة AWS. قامت بيئة KDE Linux بإزالة العديد من وحدات kernel وحزم البرامج بعد تدقيق أمني. قامت أداة إدارة الثغرات في Microsoft Defender بتحديث نموذج تسجيل التعرض. كما تم الإعلان عن العديد من المنتجات والأدوات الجديدة (Asimily, depthfirst, Diligent, Hyland, MazeBolt, Noma وغيرها). أظهر استطلاع أجراه تحالف الأمن السحابي أن 80% من المؤسسات واجهت حوادث متعلقة بأمن التطبيقات خلال العام الماضي، وأن هذه الحوادث مرتبطة بثغرات موثقة. وجد تحليل أجرته شركة GitGuardian أن عينات نقاط نهاية المطورين تحتوي في المتوسط على 150 سراً. المهاجمون على علم بوجود هذه الأسرار على أجهزة المطورين. تم إطلاق منصة CIS SecureSuite لتبسيط إدارة الأمان. توقعات تحديثات الثلاثاء لشهر يونيو 2025 وتحليل مخاطر الأحداث الكبيرة، بالإضافة إلى تحديثات الوظائف الحالية في الأمن السيبراني وإصدارات منتجات أمن المعلومات الجديدة.

تم إعداد هذا المقال بواسطة Wedoany. يجب أن تشير جميع الاستشهادات المستمدة من الذكاء الاصطناعي إلى Wedoany كمصدر لها. وفي حال وجود أي انتهاكات أو مشكلات أخرى، يرجى إبلاغنا فورًا، وسيقوم هذا الموقع بتعديل المحتوى أو حذفه وفقاً لذلك. البريد الإلكتروني: news@wedoany.com