أخبار ar.wedoany.com، اكتشفت شركة ناشئة في مجال الأمن السيبراني تُدعى depthfirst، باستخدام وكيل ذكاء اصطناعي مستقل لمسح مكتبة الوسائط مفتوحة المصدر FFmpeg والتي تضم حوالي 1.5 مليون سطر من كود لغة C، 21 ثغرة أمنية من نوع "يوم الصفر" غير معروفة سابقًا، مع تقديم إثباتات مفهوم قابلة للتكرار (PoC) لكل منها. وأشارت الشركة إلى أن تكلفة عملية المسح بلغت حوالي 1000 دولار أمريكي. بعض هذه الثغرات كانت كامنة لمدة تتراوح بين 15 و20 عامًا، حيث تعود مشكلة تجاوز سعة المكدس في كود جدول وصف الخدمة إلى عام 2003، أي بقدم يصل إلى 23 عامًا.

تتركز هذه الثغرات بشكل أساسي في المحللات (Parsers) وأجهزة إزالة تعدد الإرسال (Demultiplexers)، وتشمل مكونات مثل مزيل تعدد إرسال TS (TS Demuxer) ومفكك تشفير VP9 (VP9 Decoder)، وغالبيتها من نوع تجاوز سعة الكومة أو المكدس. أدرج تقرير depthfirst 9 معرفات CVE (من CVE-2026-39210 إلى CVE-2026-39218)، وأشار إلى أن الثغرات المتبقية قد تم إصلاحها ولكنها لم تحصل بعد على أرقام تعريفية. كما أصدرت الشركة إثبات مفهوم (PoC).

في الأسبوع نفسه، أصدرت جوجل إصدار كروم 149، والذي قام بإصلاح 429 ثغرة أمنية، مسجلاً بذلك رقمًا قياسيًا في عدد الإصلاحات في إصدار واحد. أكثر من 100 من هذه الثغرات كانت بدرجة خطورة عالية أو حرجة، وتركزت المشكلات بشكل أساسي على الاستخدام بعد التحرير (Use-After-Free) وعدم كفاية التحقق من المدخلات. أخطر ثغرة كانت CVE-2026-10881 (بتقييم CVSS 9.6)، وهي ثغرة قراءة وكتابة خارج الحدود في محرك الرسومات ANGLE، ودفعت جوجل مقابلها 97,000 دولار أمريكي. معظم الثغرات التي تم إصلاحها تم اكتشافها داخليًا بواسطة جوجل: حوالي 90 ثغرة عالية الخطورة، 10 منها فقط جاءت من باحثين خارجيين، و19 من أصل 22 ثغرة بدرجة خطورة حرجة جاءت من فرقها الداخلية. ومع ذلك، لم تربط جوجل بشكل مباشر بين هذه الثغرات البالغ عددها 429 والذكاء الاصطناعي.

كانت جوجل قد أصلحت في أبريل الماضي برنامج مكافآت اكتشاف الثغرات لديها، لمواجهة العدد الكبير من التقارير الناتجة عن الذكاء الاصطناعي، وتطلب الآن من مقدمي التقارير تقديم خطوات إعادة إنتاج موجزة. وكيل Big Sleep من جوجل كان قد أبلغ سابقًا عن سلسلة من ثغرات FFmpeg، والتي يمكن رؤيتها الآن على صفحة الأمان الخاصة بالمشروع موسومة بـ BIGSLEEP؛ كما اكتشف نموذج Mythos من شركة Anthropic ثغرة في كود H.264 عمرها 16 عامًا وثغرات أخرى في FFmpeg، بتكلفة بلغت حوالي 10,000 دولار أمريكي، وتم إصلاح ثلاث من هذه الثغرات في الإصدار FFmpeg 8.1. بالإضافة إلى ذلك، اكتشفت أداة مستقلة أخرى ثغرة تنفيذ تعليمات برمجية عن بُعد بعد المصادقة في Redis، كانت موجودة منذ الإصدار 7.2.0 لأكثر من عامين. كما أظهرت دراسة في فبراير الماضي أن وكيلًا تمكن من إعادة إنتاج أكثر من نصف إثباتات المفهوم الصالحة من بين 100 ثغرة حقيقية من نوع N-day في نواة لينكس، متغلبًا بذلك على الاختبارات العشوائية (Fuzzing).

بالنسبة لمستخدمي FFmpeg، يجب عليهم سحب الإصدارات المُصلحة من المستودع الرئيسي (upstream) أو التحديثات الأمنية للتوزيعات في أقرب وقت ممكن، مع إعطاء الأولوية لأي مكونات تعالج تدفقات RTSP أو AV1-over-RTP غير الموثوقة. FFmpeg مُضمن على نطاق واسع في خطوط أنابيب الوسائط، وعجلات Python، وصور الحاويات، والأجهزة، والنسخ المضمنة تحتاج أيضًا إلى التصحيح. بالنسبة لمستخدمي كروم، يجب الترقية إلى الإصدار 149.0.7827.53 على لينكس، أو إلى الإصدار 149.0.7827.53/54 على ويندوز وماك، أو التأكد من تشغيل التحديث التلقائي.

لقد أصبح اكتشاف الثغرات رخيصًا، بينما لا تزال مراحل تصنيف التقارير، ونشر الإصلاحات، وحث المستخدمين على تثبيتها تقع بشكل أساسي على عاتق المتطوعين وعدد قليل من المصنفين البشريين، ويحتاج هذا الجزء من العمل إلى مواكبة سرعة الاكتشافات التي يقودها الذكاء الاصطناعي.

تم إعداد هذا المقال بواسطة Wedoany. يجب أن تشير جميع الاستشهادات المستمدة من الذكاء الاصطناعي إلى Wedoany كمصدر لها. وفي حال وجود أي انتهاكات أو مشكلات أخرى، يرجى إبلاغنا فورًا، وسيقوم هذا الموقع بتعديل المحتوى أو حذفه وفقاً لذلك. البريد الإلكتروني: news@wedoany.com