نظام MDASH من Microsoft: الذكاء الاصطناعي الوكيل يكتشف 16 ثغرة في Windows قبل المهاجمين

أعلنت Microsoft في 12 مايو 2026 عن نظام MDASH — اختصار Microsoft Security Multi-Model Agentic Scanning Harness — وهو منصة أمنية تعتمد على أكثر من 100 وكيل ذكاء اصطناعي متخصص لاكتشاف الثغرات الأمنية في الكود المصدري تلقائياً. النظام اكتشف بالفعل 16 ثغرة في مكونات Windows الحساسة، أربع منها مصنفة حرجة بتقييم CVSS يتجاوز 9.0، وجميعها أُدرجت في تحديث Patch Tuesday لشهر مايو 2026.

ما هو MDASH وكيف يعمل؟

على عكس أدوات التحليل الثابت التقليدية التي تعتمد على أنماط محددة مسبقاً، يستخدم MDASH بنية وكيلية متعددة النماذج (multi-model agentic architecture) تمر بمراحل متتابعة. في مرحلة التحضير (Prepare)، يستوعب النظام الكود المصدري المستهدف ويحلل سجل التعديلات السابقة لفهم السياق التاريخي للثغرات. ثم في مرحلة الفحص (Scan)، تعمل عشرات الوكلاء المتخصصين بالتوازي على تحليل مسارات الكود المشبوهة، حيث يتناقش الوكلاء فيما بينهم لتأكيد أو نفي قابلية الاستغلال قبل إصدار التقرير النهائي.

حقق النظام نتائج مذهلة في الاختبارات: معدل اكتشاف 96% على 28 ثغرة تاريخية في مكوّن clfs.sys خلال خمس سنوات، و100% على 7 ثغرات في tcpip.sys. كما تصدّر معيار CyberGym العام بنتيجة 88.45%، متقدماً بخمس نقاط مئوية على أقرب منافسيه.

الثغرات الـ16 المكتشفة: تفاصيل تقنية

شملت الثغرات المكتشفة مكونات حيوية في نواة Windows تستخدمها كل مؤسسة تعتمد على بنية Microsoft التحتية. من أبرزها أربع ثغرات تنفيذ كود عن بعد (RCE) حرجة في مكدس TCP/IP الخاص بالنواة (tcpip.sys) وخدمة IKEv2 للشبكات الافتراضية الخاصة (ikeext.dll). كما تضمنت القائمة ثغرات في http.sys الذي يعالج طلبات الويب، وdnsapi.dll لخدمات DNS، وnetlogon.dll المسؤول عن مصادقة Active Directory، وحتى telnet.exe.

الخطير في هذه الثغرات أن بعضها — خاصة في tcpip.sys وhttp.sys — يمكن استغلاله عن بعد دون أي تفاعل من المستخدم، مما يجعلها أهدافاً مثالية لهجمات الفدية والاختراقات المتقدمة التي تستهدف البنية التحتية للشبكات.

لماذا يهم هذا المؤسسات المالية السعودية؟

يطرح ظهور MDASH سؤالاً جوهرياً لمسؤولي الأمن السيبراني في القطاع المالي السعودي: إذا كانت Microsoft تستخدم أكثر من 100 وكيل ذكاء اصطناعي لاكتشاف ثغرات في كودها الخاص، فما الأدوات التي تستخدمها مؤسستك لاكتشاف الثغرات في أنظمتها؟

إطار SAMA CSCC يُلزم المؤسسات المالية في المملكة بتطبيق إدارة ثغرات استباقية وفق الضابط 3-3-4 (Vulnerability Management)، ويشترط أن تكون عمليات الفحص مستمرة وليست دورية فقط. كما يُلزم إطار NCA ECC في ضوابط إدارة الثغرات التقنية بأن تمتلك المؤسسات قدرة على اكتشاف الثغرات وترتيب أولوياتها ومعالجتها ضمن أطر زمنية محددة. ظهور أدوات مثل MDASH يرفع سقف التوقعات التنظيمية ويجعل الاعتماد على فحوصات ربع سنوية فقط غير كافٍ.

تحول جذري في إدارة الثغرات

ما يميز MDASH ليس فقط قدرته على اكتشاف الثغرات، بل قدرته على إثبات قابلية استغلالها. الأدوات التقليدية مثل Nessus وQualys تُنتج تقارير مليئة بالإيجابيات الكاذبة التي تُرهق فرق الأمن. نظام وكيلي يستطيع التناقش حول جدوى الاستغلال ثم تقديم إثبات عملي (proof of exploitability) يغيّر قواعد اللعبة تماماً.

هذا التحول يعني أن فرق الـ SOC في البنوك وشركات التأمين السعودية ستحتاج إلى إعادة تقييم أدواتها واستراتيجياتها. الذكاء الاصطناعي الوكيل لن يحل محل محلل الثغرات البشري، لكنه سيُسرّع دورة الاكتشاف بشكل هائل ويُمكّن الفرق الصغيرة من تغطية مساحة كود أكبر بكثير.

Patch Tuesday مايو 2026: لا ثغرات مستغلة لأول مرة منذ عامين

تضمن تحديث Patch Tuesday لشهر مايو 2026 إصلاح 120 ثغرة أمنية، منها 29 ثغرة تنفيذ كود عن بعد (RCE) مصنفة حرجة. اللافت أن هذا التحديث هو الأول منذ 22 شهراً لا يتضمن أي ثغرة Zero-Day مُستغلة فعلياً، وهو تحول ملحوظ بعد فترة كان المعدل فيها 3.5 ثغرة Zero-Day شهرياً.

من أبرز الثغرات المُصلحة: CVE-2026-41096 في عميل DNS (dnsapi.dll) الذي يسمح بتنفيذ كود عن بعد عبر استجابة DNS خبيثة بتقييم CVSS حرج، وCVE-2026-40361 ثغرة use-after-free حرجة في Microsoft Word، وCVE-2026-35421 ثغرة فيض مخزن مؤقت في واجهة أجهزة الرسوميات GDI.

التوصيات والخطوات العملية

1. تطبيق تحديثات مايو 2026 فوراً: أعطِ الأولوية للأنظمة المكشوفة على الإنترنت — خوادم IIS (http.sys) وخوادم DNS وبوابات VPN التي تستخدم IKEv2. الثغرات الأربع الحرجة المكتشفة بواسطة MDASH تستهدف هذه المكونات تحديداً.
2. تقييم نضج برنامج إدارة الثغرات: راجع ما إذا كانت عمليات الفحص لديك مستمرة (Continuous) أم دورية فقط. إطار SAMA CSCC يتطلب المراقبة المستمرة، وظهور أدوات AI-driven يجعل الجهات الرقابية تتوقع مستوى أعلى من الاستجابة.
3. دراسة دمج الذكاء الاصطناعي في عمليات الأمن: ابدأ بتقييم أدوات تحليل الكود المعزز بالذكاء الاصطناعي لفحص التطبيقات الداخلية. لا تنتظر حتى يستخدمها المهاجمون ضدك — مجموعات التهديد المتقدمة بدأت بالفعل بتوظيف AI في اكتشاف الثغرات.
4. تحديث خطة الاستجابة للحوادث: مع تسارع اكتشاف الثغرات، ستتسارع أيضاً محاولات استغلالها. تأكد أن فريق SOC لديه إجراءات واضحة للتعامل مع ثغرات حرجة جديدة خلال 24 ساعة من الإعلان عنها.
5. مراجعة اتفاقيات مستوى الخدمة مع مزودي الخدمات المُدارة: إذا كنت تعتمد على MSSP، تأكد أن اتفاقياتك تتضمن التزاماً بتطبيق التحديثات الحرجة خلال 48 ساعة وفق متطلبات NCA ECC.

الخلاصة

نظام MDASH يمثل نقطة تحول في مشهد الأمن السيبراني — الذكاء الاصطناعي لم يعد أداة مساعدة فقط، بل أصبح خط الدفاع الأول في اكتشاف الثغرات قبل أن يجدها المهاجمون. المؤسسات المالية السعودية التي تتأخر في تبني هذه التقنيات ستجد نفسها متخلفة ليس فقط عن المهاجمين، بل عن التوقعات التنظيمية المتصاعدة لـ SAMA وNCA.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، بما في ذلك تقييم برنامج إدارة الثغرات وجاهزية فريقك لتبني أدوات الذكاء الاصطناعي الأمنية.