ثغرة Linux Copy Fail: كيف كشف الذكاء الاصطناعي عن عيب أمني خطير يهدد الأنظمة

تُعرّض ثغرة أمنية حرجة تُعرف باسم ثغرة Linux Copy Fail تقريباً كل توزيعة تم إصدارها منذ عام 2017 لخطر تصعيد الصلاحيات الفوري. وتُعد هذه الثغرة، التي تحمل المعرّف الرسمي CVE-2026-31431، تهديداً بالغ الخطورة لمسؤولي الأنظمة ومهندسي عمليات التطوير والتشغيل (DevOps). إذ تتيح لأي مستخدم محلي، بغض النظر عن مستوى وصوله الحالي، منح نفسه صلاحيات المسؤول الجذر دون إثارة أي إنذارات أمنية قياسية.

تم الكشف عن هذه الثغرة علناً بواسطة شركة الأمن السيبراني Theori. ووفقاً للباحثين في الشركة، يعتمد الاستغلال على برنامج نصي شامل مكتوب بلغة Python يعمل بسلاسة عبر الأنظمة المتأثرة. والمثير للقلق أن هذا البرنامج النصي لا يتطلب أي تعديلات خاصة بكل توزيعة، أو عمليات تحقق من الإصدار، أو إعادة تجميع للأكواد البرمجية ليعمل بنجاح.

ما يجعل هذه الثغرة خطيرة بشكل استثنائي هو قدرتها على التخفي. وكما أشار مهندس عمليات التطوير والتشغيل (DevOps) السيد Jorijn Schrijvershof، يعتمد الاستغلال على إتلاف ذاكرة التخزين المؤقت للصفحات، وهي عملية لا تضع أبداً علامة تشير إلى تعديل الصفحة. ونظراً لأن آلية إعادة الكتابة في النواة تفشل في نقل هذه البايتات المعدلة إلى القرص، فإن أدوات المراقبة القياسية التي تعتمد على المجاميع الاختبارية على القرص، مثل أدوات AIDE وTripwire وOSSEC، تظل عمياء تماماً عن هذا الاختراق.

تم تسريع عملية اكتشاف هذا العيب الأمني، الذي ظل مخفياً لعقد من الزمان، بفضل الذكاء الاصطناعي. فقد استخدم الباحثون في شركة Theori أداة Xint Code AI الخاصة بهم لفحص معمارية نظام التشغيل. واستهدف الباحث الأمني Taeyang Lee تحديداً النظام الفرعي للتشفير في نظام Linux للبحث عن نقاط الضعف المحتملة.

من خلال إدخال أمر نصي دقيق للغاية في أداة الفحص الآلي، تمكن الذكاء الاصطناعي من تحديد عدة ثغرات، بما في ذلك ثغرة Copy Fail، في غضون ساعة واحدة تقريباً. وكان الأمر النصي الدقيق المستخدم للكشف عن الثغرة هو:

This is the linux crypto/ subsystem. Please examine all codepaths reachable from userspace syscalls. Note one key observation: splice() can deliver page-cache references of read-only files (including setuid binaries) to crypto TX scatterlists.

تم دمج تصحيح أمني للثغرة في نواة Linux الرئيسية في الأول من أبريل. ومع ذلك، نظراً لأن الباحثين نشروا تفاصيل الاستغلال قبل أن تتمكن جميع التوزيعات من تنفيذ الإصلاح، لا تزال العديد من الأنظمة مكشوفة. إذا كنت تدير خوادم تعمل بنظام Linux، فيجب عليك اتخاذ إجراءات فورية لتأمين بيئاتك.

• التحقق من التوزيعة الخاصة بك: تأكد مما إذا كان إصدار نظام التشغيل الخاص بك قد أصدر نشرة أمنية بخصوص ثغرة CVE-2026-31431.
• تطبيق التحديثات الفورية: التحديثات متاحة بالفعل لتوزيعة Arch Linux، وتوزيعة RedHat Fedora، وتوزيعة Amazon Linux. قم بتشغيل مدير الحزم في نظامك لتثبيت أحدث تحديثات النواة على الفور.
• مراقبة الحالات الشاذة: نظراً لأن أدوات التحقق التقليدية لن تكتشف هذا التلف المحدد في ذاكرة التخزين المؤقت للصفحات، يجب على فرق الأمن السيبراني زيادة المراقبة السلوكية مؤقتاً لرصد أي محاولات غير مصرح بها لتصعيد الصلاحيات حتى يتم نشر التحديثات بالكامل.

يُبرز اكتشاف ثغرة CVE-2026-31431 سلاحاً ذا حدين في مجال الأمن السيبراني الحديث. فمن ناحية، يُعد تمكن أداة ذكاء اصطناعي مثل Xint Code من الكشف عن عيب عميق وشامل في النواة في غضون ساعة واحدة فقط قفزة هائلة للأمام في مجال الأمن الدفاعي. وهذا يثبت أن وكلاء الذكاء الاصطناعي لم يعودوا مجرد مساعدين نظريين؛ بل يتفوقون بنشاط على عمليات التدقيق اليدوية التقليدية للأكواد في البيئات المعقدة مثل النظام الفرعي للتشفير في نظام Linux.

ومع ذلك، فإن هذه الوتيرة السريعة للاكتشاف تعقد بشكل كبير الجدول الزمني للإفصاح المسؤول. إن قرار شركة Theori بنشر تفاصيل الاستغلال قبل أن تتمكن التوزيعات الكبرى من طرح التحديثات قد ترك عدداً لا يحصى من الخوادم عرضة لهجمات المبتدئين والبرمجيات الآلية. ومع استمرار الذكاء الاصطناعي في تقليص الوقت المستغرق للعثور على ثغرات اليوم الصفر، يجب على قطاع الأمن السيبراني وضع بروتوكولات حظر أكثر صرامة، لضمان ألا تتجاوز سرعة الاكتشاف سرعة المعالجة والإصلاح.