مايكروسوفت تُهدّد باحثاً أمنياً بالملاحقة الجنائية بسبب كشفه ثغرات
يُشعل نزاع علني بين مايكروسوفت وباحث أمني مستقل جدلاً واسعاً حول الإفصاح عن الثغرات الأمنية والعلاقة المتوترة بين الشركات والمجتمع الأمني.
تطوّر نزاع مثير بين شركة مايكروسوفت والباحث الأمني المعروف بـ Nightmare Eclipse في أوائل مايو 2026، ليُعيد إلى الواجهة نقاشاً قديماً ومستمراً حول قواعد الإفصاح المسؤول عن الثغرات الأمنية والحقوق المتنازَع عليها بين الشركات والباحثين المستقلين.
عرض الباحث بصورة علنية أربع ثغرات جديدة تطال منتجات مايكروسوفت واسعة الانتشار، في مقدمتها برنامج مكافح الفيروسات Windows Defender وأداة تشفير القرص BitLocker، وأطلق عليها أسماء شفرية هي BlueHammer وRedSun وUnDefend وYellowKey. الأخطر من ذلك أنه نشر مع الثغرات شفرات برمجية تُبيّن كيفية استغلالها، وهو ما يُسمى بالاستغلال لإثبات المفهوم.
ردّت مايكروسوفت بحدة غير معتادة؛ إذ أشارت وحدة الجرائم الرقمية التابعة لها إلى إمكانية مباشرة ملاحقة جنائية ضد من يُقدم على هذا النوع من الإفصاح. ووصف بيان نشره مركز الاستجابة الأمنية لمايكروسوفت هذا التصرف بأنه غير مسؤول ومضرّ بالمستخدمين. فضلاً عن ذلك، جرى تعليق حسابات الباحث على GitHub وGitLab ومنصة مايكروسوفت الأمنية ذاتها.
في المقابل، يدّعي Nightmare Eclipse أن مايكروسوفت هي التي دفعته نحو الإفصاح العلني بسبب ما وصفه بالمعاملة السيئة من فريق الاستجابة الأمنية، وإلغاء حسابه على بوابة الإبلاغ عن الثغرات، وإهمال ثغرات أبلغ عنها سابقاً. وأوضح أن الاستجابة الأخيرة لمايكروسوفت أدت إلى اضطراره لنشر تفاصيل ثغرات لم يُخطط لها أصلاً.
ردود الفعل في الأوساط الأمنية كانت قاطعة في انتقادها لمايكروسوفت. قالت الباحثة الأمنية المخضرمة كيتي موسوريس إن توجيه تهديد بالملاحقة الجنائية لن يُفضي إلا إلى زيادة انعدام الثقة بين مايكروسوفت والباحثين الأمنيين، مما سيُقلّص تدفق الثغرات المُبلَّغ عنها بصورة خاصة. أما الباحث كيفن بومونت فوصف تعامل مايكروسوفت بأنه كارثي ذاتية الصنع.
تكتسب القضية أهمية استثنائية لأن بعض الثغرات المكشوفة باتت تُستغل فعلاً في هجمات حقيقية، بحسب ما أفادت به مايكروسوفت ووكالة الأمن السيبراني CISA الأمريكية. وهذا يُعقّد التقييم الأخلاقي للحادثة؛ فمن جهة، ترى مايكروسوفت أن الإفصاح المبكر مكّن المهاجمين، ومن جهة أخرى، يرى الباحث وكثير من المجتمع الأمني أن مايكروسوفت لم تكن لتُبادر إلى الإصلاح لولا ضغط الإفصاح العلني.
يثير هذا النزاع اهتماماً خاصاً في الفضاء السيبراني العربي، حيث تتنامى مجتمعات الباحثين الأمنيين في مصر والأردن والمغرب والإمارات والسعودية. وتسعى جهات حكومية كالهيئة الوطنية للأمن السيبراني في السعودية والمجلس الأعلى للأمن السيبراني في الإمارات إلى وضع أطر للإفصاح المسؤول ودعم ثقافة الأمن الاستباقي، في حين يشعر كثير من الباحثين العرب المستقلين بالقلق إزاء العواقب القانونية المحتملة عند الإفصاح عن الثغرات، وهو ما يجعل هذه القضية نقطة مرجعية يستحق مجتمع الأمن السيبراني العربي متابعتها عن كثب.
يُذكّر هذا النزاع بأن معادلة الثقة بين شركات البرمجيات وباحثي الأمن المستقلين لا تزال هشّةً، وأن برامج مكافأة الثغرات والإفصاح المنسّق تبقى تعاهدات غير مكتوبة يعتمد نجاحها على احترام متبادل لم تُكرّسه مايكروسوفت هذه المرة.
المزيد من أمن
طلب بسيط يخترق وكيل الذكاء الاصطناعي لميتا ويكشف ثغرات أمن المساعدين الذكيين
مهاجمون استغلوا وكيل دعم العملاء الذكي في ميتا لتغيير عناوين البريد الإلكتروني لحسابات إنستغرام بطلب مباشر، كاشفين عن ثغرات بنيوية في تصميم عوامل الذكاء الاصطناعي المكلّفة بعمليات حساسة.
تحذير من مجموعة قراصنة ترسل موظفين مزيّفين لاختراق الشركات جسديًا وسرقة بياناتها
مجموعة Silent Ransom Group تصعّد هجماتها بإرسال أفراد متنكّرين كدعم تقني إلى مقار الشركات لسرقة البيانات عبر أقراص USB أو تثبيت وصول عن بُعد، وفق تحذير مشترك من غوغل ومكتب التحقيقات الفيدرالي.
الذكاء الاصطناعي يُغرق المحاكم الأمريكية بدعاوى قضائية ويُثير أزمة قانونية معقدة
ارتفعت نسبة الدعاوى الفيدرالية التي تتضمن محتوى مكتوباً بمساعدة الذكاء الاصطناعي من 1% عام 2023 إلى 18% في 2026، مثيرةً تساؤلات عاجلة حول هلوسة النماذج اللغوية والمسؤولية القانونية.