اكتشف كلود ميثوس أكثر من 500 يوم صفر: قم بأتمتة عمليات التحقق من الأمان الخاصة بك
أنثروبي\
في 7 أبريل 2026، أعلنت أنثروبيك عن معاينة كلود ميثوس. وفي غضون أيام من الاختبار الداخلي، وجدت أكثر من 500 ثغرات أمنية عالية الخطورة في بعض قواعد التعليمات البرمجية الأكثر تدقيقًا على هذا الكوكب: شاب يبلغ من العمر 16 عامًا خارج الحدود الكتابة في FFmpeg، وهو رفض الخدمة البالغ من العمر 27 عامًا في OpenBSD، وتنفيذ التعليمات البرمجية عن بعد في FreeBSD الذي تم تنفيذه لم يتم اكتشافها لمدة 17 عامًا (CVE-2026-4747).
ليس لديك حق الوصول إلى Mythos. اقتصرت شركة Anthropic على شركاء مشروع Glasswing: AWS، وApple، وGoogle، Microsoft وNvidia وCrowdStrike وحفنة من الشركات الأخرى. لكن الرسالة واضحة: إذا تمكن الذكاء الاصطناعي من العثور على الأخطاء المختبئة فيها تم اختبار قواعد التعليمات البرمجية بواسطة Fuzzers ملايين المرات، لكن البنية التحتية الخاصة بك بها ثغرات أيضًا.
يغطي هذا المنشور ستة فحوصات أمنية يمكنك تشغيلها تلقائيًا الآن باستخدام استدعاءات واجهة برمجة التطبيقات (API). لا يلزم الوصول إلى Mythos. كل
واحد يأخذ واحد curl الأمر وإرجاع JSON منظم يمكنك توجيهه إلى التنبيهات أو لوحات المعلومات أو
خطوط أنابيب سي.آي.
ما الذي وجدته Mythos (وسبب أهميته بالنسبة إلى مجموعتك)
تقوم أجهزة التشويش التقليدية بإلقاء مدخلات عشوائية على الكود. يقرأ Mythos وأسبابه حول كود المصدر مثل الأمان الباحث. لقد تتبعت سجل التزام Git، وحددت التصحيحات غير المكتملة، وأنشأت سلاسل استغلال ممتدة نقاط الضعف المتعددة.
| مشروع | نوع الخلل | عمر | التفاصيل |
|---|---|---|---|
| برنامج الترميز FFmpeg H.264 | الكتابة خارج الحدود | 16 سنة | تصادم ترقيم الشرائح؛ ضربت الزغبات الخط 5 ملايين مرة دون إثارة ذلك |
| برنامج OpenBSD TCP/SACK | الحرمان من الخدمة | 27 سنة | تجاوز عدد صحيح مُوقع + عدم مرجعية المؤشر NULL؛ تعطل أي جهاز عن بعد |
| فري بي إس دي إن إف إس | تنفيذ التعليمات البرمجية عن بعد | 17 سنة | CVE-2026-4747; تجاوز سعة المخزن المؤقت للمكدس في مصادقة RPCSEC_GSS، لا حاجة للمصادقة |
| GhostScript | تجاوز حدود المكدس | عقود | التحقق من الحدود غير المكتملة في معالجة الخطوط؛ يعكس مسارًا تم تصحيحه مسبقًا |
| سي جي آي إف | تجاوز سعة المخزن المؤقت | سنين | تؤدي إعادة تعيين قاموس LZW إلى تجاوز حجم الإدخال؛ غابت تغطية الكود بنسبة 100٪ |
التكلفة؟ أقل من 20 ألف دولار للعثور على خطأ OpenBSD. أقل من 10000 دولار لثغرات FFmpeg. هذا أرخص من أسبوع واحد من اختبار الاختراق اليدوي.
لا يمكنك تشغيل Mythos ضد الكود الخاص بك اليوم. ولكن يمكنك إغلاق الفجوات التي لا تتطلب ثنائية عميقة التحليل: الشهادات منتهية الصلاحية، ومصادقة البريد الإلكتروني المفقودة، ورؤوس الأمان الضعيفة، ووقت التوقف الصامت.
الفحص رقم 1: انتهاء صلاحية شهادة SSL
تؤدي شهادات SSL منتهية الصلاحية إلى انقطاع الخدمة وتقتل ثقة المستخدم. لقد كان لدى كل من Stripe وMicrosoft وSpotify الحوادث المتعلقة بالشهادة. يخبرك استدعاء API واحد بعدد الأيام المتبقية لديك.
curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'{
"success": true,
"data": {
"domain": "your-app.com",
"issuer": "Let's Encrypt",
"valid_from": "2026-02-01T00:00:00.000Z",
"valid_to": "2026-05-02T00:00:00.000Z",
"days_remaining": 23,
"expired": false,
"expiring_soon": true
}
}
ال expiring_soon العلم يقلب إلى true عندما تكون الشهادة في غضون 30 يومًا من
انتهاء الصلاحية. قم بتوجيه هذا إلى تنبيه Slack أو فحص CI.
الفحص رقم 2: التحقق من صحة سجل SPF
يعني سجل نظام التعرف على هوية المرسل (SPF) الذي تم تكوينه بشكل خاطئ أن المهاجمين يمكنهم انتحال رسائل البريد الإلكتروني من نطاقك. تم تذكير إعلان Mythos كل شخص يتجاوز هذا الأمان التعليمات البرمجية: يعد تكوين DNS الخاص بك بمثابة سطح هجوم أيضًا.
curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'{
"success": true,
"data": {
"domain": "your-app.com",
"has_spf": true,
"record": "v=spf1 include:_spf.google.com ~all",
"issues": [
"SPF record uses ~all (softfail) instead of -all (hardfail)"
],
"score": "B"
}
}
المشكلات الشائعة التي تكتشفها نقطة النهاية: ~all بدلاً من -all، عدد كبير جدًا من عمليات بحث DNS
(يتجاوز حد 10 عمليات بحث)، ومفقود include: توجيهات لمرسلي الطرف الثالث.
الفحص رقم 3: سياسة DMARC
بدون DMARC، لن يكون هناك أي تنفيذ لفحوصات نظام التعرف على هوية المرسل (SPF) وDKIM. يقوم المهاجمون بتمرير رسائل البريد الإلكتروني المخادعة إلى صناديق البريد الوارد تخطي التحقق.
curl -s -X POST https://api.botoi.com/v1/dns-security/dmarc-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'
بحث policy: "reject" في الرد. أي شيء أقل (none أو
quarantine) يعني أن رسائل البريد الإلكتروني المخادعة الواردة من نطاقك لا تزال قادرة على الوصول إلى صناديق البريد الوارد.
الفحص رقم 4: محدد DKIM
يقوم DKIM بتوقيع رسائل البريد الإلكتروني الصادرة باستخدام مفتاح التشفير. وبدون ذلك، لا يمكن لخوادم الاستقبال التحقق من محتوى البريد الإلكتروني هذا لم يتم العبث بها أثناء النقل.
curl -s -X POST https://api.botoi.com/v1/dns-security/dkim-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com", "selector": "google"}'
قم بتمرير المحدد الذي يستخدمه مزود البريد الإلكتروني الخاص بك (يستخدم Google google، تستخدم مايكروسوفت
selector1 و selector2). تتحقق نقطة النهاية من صحة وجود المفتاح العام وأنه صحيح
منسق.
الفحص رقم 5: رؤوس أمان HTTP
رؤوس مفقودة مثل Strict-Transport-Security, X-Content-Type-Options، و
Content-Security-Policy اترك تطبيقك مفتوحًا لهجمات الرجوع إلى إصدار سابق، ورصد MIME، وXSS.
curl -s -X POST https://api.botoi.com/v1/headers \\
-H "Content-Type: application/json" \\
-d '{"url": "https://your-app.com"}'
يتضمن الرد أ security_headers كائن يوضح الرؤوس الموجودة والمفقودة،
وما هي القيم التي تحتويها. أضف هذا الفحص إلى مسار النشر الخاص بك لرصد الانحدارات.
الفحص رقم 6: وقت التشغيل ووقت الاستجابة
إذا كان موقعك معطلاً، فلا شيء آخر يهم. يؤكد الفحص السريع لوقت التشغيل على استجابة تطبيقك، ويقيس زمن الاستجابة، ويلتقط حلقات إعادة التوجيه أو رموز الحالة غير المتوقعة.
curl -s -X POST https://api.botoi.com/v1/uptime/check \\
-H "Content-Type: application/json" \\
-d '{"url": "https://your-app.com"}'قم بدمج الستة في برنامج نصي واحد للتدقيق
قم بإجراء جميع عمليات التحقق الستة على أي مجال باستخدام برنامج نصي bash واحد. احفظه باسم audit.shافعلها
قابل للتنفيذ، وتمرير المجال الخاص بك كوسيطة.
#!/bin/bash
# Domain security audit using Botoi API
DOMAIN=\${1:-"your-app.com"}
API="https://api.botoi.com/v1"
echo "Security audit for \$DOMAIN"
echo "=========================="
# 1. SSL certificate
echo "\\n[SSL Certificate]"
SSL=\$(curl -s -X POST \$API/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SSL | jq '.data | {issuer, days_remaining, expired, expiring_soon}'
# 2. SPF record
echo "\\n[SPF Check]"
SPF=\$(curl -s -X POST \$API/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SPF | jq '.data | {has_spf, score, issues}'
# 3. DMARC record
echo "\\n[DMARC Check]"
DMARC=\$(curl -s -X POST \$API/dns-security/dmarc-check \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$DMARC | jq '.data | {has_dmarc, policy, score}'
# 4. HTTP security headers
echo "\\n[Security Headers]"
HEADERS=\$(curl -s -X POST \$API/headers \\
-H "Content-Type: application/json" \\
-d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$HEADERS | jq '.data.security_headers'
# 5. Uptime and response time
echo "\\n[Uptime Check]"
UPTIME=\$(curl -s -X POST \$API/uptime/check \\
-H "Content-Type: application/json" \\
-d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$UPTIME | jq '.data | {status_code, response_time_ms, is_up}'
echo "\\nAudit complete."Node.js مع Botoi SDK
إذا كنت تفضل TypeScript، فإن @botoi/sdk تقوم الحزمة بتشغيل جميع عمليات الفحص بالتوازي مع السلامة الكاملة للنوع.
import Botoi from "@botoi/sdk";
const botoi = new Botoi(); // no key needed for free tier
async function auditDomain(domain: string) {
const [ssl, spf, dmarc, headers] = await Promise.all([
botoi.sslCert.expiry({ domain }),
botoi.dnsSecurity.spfCheck({ domain }),
botoi.dnsSecurity.dmarcCheck({ domain }),
botoi.headers.check({ url: \`https://\${domain}\` }),
]);
const issues: string[] = [];
if (ssl.data.days_remaining < 30) {
issues.push(\`SSL expires in \${ssl.data.days_remaining} days\`);
}
if (!spf.data.has_spf) {
issues.push("Missing SPF record");
}
if (!dmarc.data.has_dmarc) {
issues.push("Missing DMARC record");
}
if (spf.data.score !== "A") {
issues.push(\`SPF score: \${spf.data.score} (issues: \${spf.data.issues.join(", ")})\`);
}
return { domain, issues, passed: issues.length === 0 };
}
const result = await auditDomain("your-app.com");
console.log(result);الأتمتة باستخدام إجراءات GitHub
قم بإجراء عمليات التحقق هذه في كل مرة تقوم فيها بالدفع إلى main وعلى جدول أسبوعي. فشل الإجراء في الإنشاء عندما
شهادة SSL في غضون 14 يومًا من انتهاء الصلاحية أو تنخفض درجة نظام التعرف على هوية المرسل (SPF) إلى أقل من A.
name: Security Audit
on:
schedule:
- cron: '0 9 * * 1' # Every Monday at 9 AM
push:
branches: [main]
jobs:
audit:
runs-on: ubuntu-latest
steps:
- name: Check SSL expiry
run: |
RESULT=\$(curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}')
DAYS=\$(echo \$RESULT | jq '.data.days_remaining')
if [ "\$DAYS" -lt 14 ]; then
echo "::warning::SSL certificate expires in \$DAYS days"
exit 1
fi
- name: Check DNS security
run: |
SPF=\$(curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}')
SCORE=\$(echo \$SPF | jq -r '.data.score')
if [ "\$SCORE" != "A" ]; then
echo "::warning::SPF score is \$SCORE, not A"
fiما الذي تغيره الأساطير بالنسبة لفرق الأمن؟
عثرت Mythos على 595 مُدخلًا مسببًا للتعطل عبر مجموعة OSS-Fuzz، مقارنة بحوالي 150 من Opus 4.6. لقد طورت 181 برنامج استغلال لمتصفح Firefox حيث تمكن Opus 4.6 من إدارة 2. تعهدت Anthropic بمبلغ 100 مليون دولار في واجهة برمجة التطبيقات (API) اعتمادات و4 ملايين دولار لمؤسسات أمنية مفتوحة المصدر من خلال مشروع Glasswing.
الوجبات الجاهزة: اكتشاف الثغرات الأمنية المستندة إلى الذكاء الاصطناعي يعمل. الحجم والسرعة سوف يزيدان فقط. سوف المهاجمين الوصول إلى قدرات مماثلة. لا يمكن أن يعتمد دفاعك على عمليات التدقيق اليدوية وحدها.
لن تعثر عمليات التحقق الستة في هذا المنشور على تجاوز سعة المخزن المؤقت لمدة 16 عامًا في تبعياتك. لكنهم قبضوا على حالات الفشل البسيطة التي تسبب حوادث حقيقية: الشهادات منتهية الصلاحية، ونطاقات البريد الإلكتروني المخادعة، والأمان المفقود العناوين والتوقف الصامت. أتمتة لهم اليوم. أصلح ما يعود. ثم تقلق بشأن الأشياء الأعمق.
FAQ
- ما هو كلود ميثوس وهل يمكنني استخدامه؟
- Claude Mythos Preview هو أحدث نموذج للذكاء الاصطناعي من Anthropic، تم الإعلان عنه في 7 أبريل 2026. وقد اكتشف أكثر من 500 نقطة ضعف عالية الخطورة في المشاريع مفتوحة المصدر مثل FFmpeg وOpenBSD وFreeBSD. ليس لدى Anthropic أي خطط للإصدار العام. يقتصر الوصول على شركاء Project Glasswing بما في ذلك AWS وApple وGoogle وMicrosoft وNvidia وCrowdStrike.
- ما نوع نقاط الضعف التي اكتشفها كلود ميثوس؟
- عثرت Mythos على أخطاء في تلف الذاكرة، وتجاوزات المخزن المؤقت، وتجاوزات المكدس، والعيوب المنطقية. تشمل الأمثلة البارزة عملية كتابة خارج الحدود عمرها 16 عامًا في برنامج الترميز H.264 الخاص بـ FFmpeg، وخطأ رفض الخدمة منذ 27 عامًا في مكدس TCP الخاص بـ OpenBSD، وثغرة أمنية في تنفيذ التعليمات البرمجية عن بعد عمرها 17 عامًا في FreeBSD NFS (CVE-2026-4747).
- هل يمكنني التحقق من أمان SSL وDNS لنطاقي باستخدام واجهة برمجة التطبيقات؟
- نعم. أرسل طلب POST إلى https://api.botoi.com/v1/ssl-cert/expiry مع المجال الخاص بك للتحقق من صحة الشهادة. استخدم /v1/dns-security/spf-check، و/v1/dns-security/dmarc-check، و/v1/dns-security/dkim-check لتدقيق سجلات مصادقة البريد الإلكتروني. تعمل جميع نقاط النهاية بدون مفتاح API بمعدل 5 طلبات في الدقيقة.
- كيف أقوم بأتمتة عمليات التحقق من الأمان في مسار CI؟
- قم باستدعاء نقاط نهاية الأمان من أي نظام CI باستخدام عميل Curl أو HTTP. تحقق من انتهاء صلاحية SSL وسجلات أمان DNS ورؤوس أمان HTTP وتوافر الموقع في كل دفعة أو وفقًا لجدول cron. تقوم Botoi API بإرجاع JSON منظم، حتى تتمكن من تحليل النتائج وفشل الإنشاء عندما يعرض الفحص تحذيرًا.
- ما هو مشروع غلاسوينغ؟
- مشروع Glasswing هي مبادرة Anthropic لاستخدام Claude Mythos للأمن الدفاعي. يشمل الشركاء AWS، وApple، وGoogle، وMicrosoft، وNvidia، وCrowdStrike، وCisco، وBroadcom، وJPMorganChase، وPalo Alto Networks، وLinux Foundation. خصصت Anthropic ما يصل إلى 100 مليون دولار أمريكي من أرصدة واجهة برمجة التطبيقات (API) و4 ملايين دولار أمريكي لمؤسسات أمنية مفتوحة المصدر.
ابدأ البناء مع botoi
أكثر من 150 نقطة نهاية API للبحث ومعالجة النصوص وتوليد الصور وأدوات المطورين. باقة مجانية، بدون بطاقة ائتمان.