ثغرات Day Zero في Vim وEmacs مكتشفة بواسطة Claude AI: تهديد جديد للمطورين
Claude AI يكتشف ثغرات Day Zero في Vim وEmacs ويغير قواعد الأمن السيبراني
تمكنت Claude AI التابعة لشركة Anthropic من اكتشاف ثغرات تنفيذ كود عن بُعد (RCE) صفرية اليوم في محرري النصوص Vim و GNU Emacs. هذا الاكتشاف يبرز تحولًا جذريًا في طرق البحث عن الثغرات، حيث أثبتت النماذج الذكية أن بإمكانها تحديد ثغرات حرجة في برامج قديمة باستخدام أوامر بسيطة باللغة الطبيعية.
ثغرة Vim: التنفيذ عند فتح الملفات
بدأت التجربة بطريقة غير تقليدية، حيث أعطى فريق الباحثين في Calif AI نموذج Claude الأمر البسيط:
“أخبرني أحدهم أن هناك ثغرة RCE صفرية عند فتح أي ملف، اكتشفها.”
رغم بساطة الطلب، تمكن Claude من اكتشاف ثغرة حرجة في Vim الإصدار 9.2.
وأظهر PoC (دليل المفهوم) أن المهاجم يمكنه تنفيذ كود عشوائي بمجرد إقناع المستخدم بفتح ملف markdown مصمم خصيصًا.
لا يتطلب الاستغلال أي تفاعل إضافي من المستخدم بعد فتح الملف.
تم تتبع الثغرة تحت المعرف الأمني GHSA-2gmj-rpqf-pxvh وتم إصلاحها فورًا. يُنصح المستخدمون بترقية بيئاتهم إلى الإصدار Vim 9.2.0172 لتجنب المخاطر.
ثغرة Emacs: التنفيذ عند فتح ملفات نصية
بعد اكتشاف ثغرة Vim، جرب الباحثون الانتقال إلى Emacs لتجنب المشكلة. وعند توجيه Claude للنظر في الثغرات المحتملة في GNU Emacs، تمكن AI مرة أخرى من إنشاء استغلال RCE.
يعتمد PoC الخاص بـ Emacs على استخراج أرشيف مضغوط وفتح ملف نصي بدا طبيعيًا، ليقوم بتنفيذ حمولة خبيثة في الخلفية تلقائيًا.
لكن عملية الإفصاح عن الثغرة واجهت جدلاً، حيث رفض مطورو GNU Emacs معالجة الثغرة، معتبرين أن السبب يعود إلى Git وليس المحرر نفسه. وهذا يترك مستخدمي Emacs في موقف محفوف بالمخاطر حتى يتم إيجاد حل من المجتمع أو من المطورين الأصليين.
ملخص الثغرات والإجراءات الموصى بها
البرنامج | آلية التنفيذ | حالة التصحيح | الإجراء الموصى به |
| Vim (v9.2) | فتح ملف Markdown خبيث | تم التصحيح (GHSA-2gmj-rpqf-pxvh) | الترقية فورًا إلى Vim v9.2.0172 |
| GNU Emacs | فتح ملف نصي خبيث | غير مصحح (المطورون يعزون السبب إلى Git) | الحذر عند فتح الملفات من أرشيفات غير موثوقة |
أثر الاكتشاف
أثار سهولة اكتشاف Claude لهذه الثغرات إعجاب الباحثين، وقارنها البعض بفترة أوائل 2000 حيث كانت إدخالات SQL البسيطة قادرة على اختراق شبكات كاملة.
واحتفالًا بهذه النقطة الفارقة في أبحاث الأمن السيبراني، أعلن فريق Calif إطلاق مشروع “MAD Bugs: Month of AI-Discovered Bugs”، والذي سيستمر حتى نهاية أبريل 2026، حيث يخطط الباحثون لنشر سلسلة من الثغرات والاستغلالات المكتشفة بالكامل بواسطة الذكاء الاصطناعي، مما يمثل تحولًا جوهريًا في كيفية تعامل المهاجمين والدفاعات مع أمن البرمجيات.
ملاذك الرقمي تقوم بنشر معلومات شروحات متعددة لذا يمكنك الاطلاع على المقالات التي تم نشرها وذلك من اجل حماية ننفسك وخصوصيتك وبياناتك الرقمية.
- ما هو الأمن الرقمي؟ دليل شامل لحماية نفسك على الإنترنت
- حماية البيانات الشخصية: دليل شامل لحماية خصوصيتك وأمانك الرقمي
- حماية البيانات الرقمية: دليل شامل للأفراد والمؤسسات
- الأمن السيبراني: الدليل الشامل لحماية البيانات والأنظمة من الهجمات الإلكترونية
- ما هي الخصوصية الرقمية ولماذا هي مهمة في العصر الرقمي؟
- أهمية كلمات المرور القوية وكيفية إنشائها بشكل آمن لحماية حساباتك
