كل يوم ، يثق مليارات الأشخاص في الأنظمة الرقمية لتشغيل كل شيء من التواصل إلى التجارة إلى البنية التحتية الحرجة. لكن نظام الإنذار المبكر العالمي الذي ينبه فرق الأمان إلى عيوب البرمجيات الخطرة يعرض فجوات مهمة في التغطية – وعلى الأرجح أن يكون لدى معظم المستخدمين أن حياتهم الرقمية قد أصبحت أكثر عرضة للخطر.
على مدار الـ 18 شهرًا الماضية ، غازت عمركتان من الأمن السيبراني العالمي مع الانهيار الواضح. في فبراير 2024 ، تم اختيار قاعدة بيانات الضعف الوطنية المدعومة من الولايات المتحدة (NVD)-على الصعيد العالمي لتحليلها المجاني للتهديدات الأمنية-“https://www.infosecurity-magazine.com/news/nist-vulnerability-database/”> توقف فجأة نشر مداخل جديدة ، نقلاً عن خفية “”https://nvd.nist.gov/general/news/nvd-program-transition-announcement”> التغيير في دعم بين الوكالات” ثم ، في أبريل من هذا العام ، بدا برنامج نقاط الضعف والتعرضات المشتركة (CVE) ، وهو نظام الترقيم الأساسي لتتبع عيوب البرامج ، مخاطر مماثلة: أ”https://www.theverge.com/news/649314/cve-mitre-funding-vulnerabilities-exposures-funding”> رسالة تسرب حذر من انتهاء صلاحية العقد الوشيك.
قام ممارسو الأمن السيبراني منذ ذلك الحين بإغراق قنوات الخلاف ويتغذى LinkedIn مع منشورات الطوارئ والميمات من “NVD” و “CVE” محفورة على شواهد القبور. نقاط الضعف غير المشوهة هي”https://www.verizon.com/business/resources/reports/dbir/”> الثاني الأكثر شيوعا Way Cybertackers اقتحامهم ، وقد أدى”https://www.npr.org/2023/10/20/1207367397/ransomware-attacks-against-hospitals-put-patients-lives-at-risk-researchers-say”> انقطاع المستشفى المميت و”https://www.cybersecuritydive.com/news/medusa-ransomware-slams-critical-infrastructure-organizations/742428/”> فشل البنية التحتية الحرجة. في”https://www.linkedin.com/posts/jen-easterly_quick-note-a-potential-shutdown-activity-7318021583191617538-xfa_/”> منشور وسائل التواصل الاجتماعيوقال جين Easterly ، خبير الأمن السيبراني في الولايات المتحدة: “الخسارة [CVE] سيكون مثل تمزيق كتالوج البطاقة من كل مكتبة في وقت واحد – مما يؤدي إلى فرز المدافعين عن الفوضى بينما يستفيد المهاجمون بالكامل. ” إذا تحدد CVES كل ثغرة أمنية مثل كتاب في كتالوج البطاقة ، فإن إدخالات NVD توفر المراجعة التفصيلية مع سياق حول الشدة والنطاق والاستغلال.
في النهاية ، وكالة أمن الأمن السيبراني والبنية التحتية (CISA)”https://www.cisa.gov/news-events/news/statement-matt-hartman-cve-program”> تمويل ممتد بالنسبة لـ CVE عام آخر ، يعزى الحادث إلى “قضية إدارة العقد”. لكن قصة NVD أثبتت أنها أكثر تعقيدًا. يقال إن منظمتها الأم ، المعهد الوطني للمعايير والتكنولوجيا (NIST) ، رأيت”https://fedscoop.com/nsf-nist-appropriations-cuts-met-with-disappointment-as-biden-seeks-increases/”> خفضت ميزانيتها حوالي 12 ٪ في عام 2024 ، في وقت قريب من ذلك”https://www.cybersecuritydive.com/news/nist-vulnerability-analysis-backlog/717631/”> سحبت CISA 3.7 مليون دولار في التمويل السنوي ل NVD. بعد فترة وجيزة ، مع نمو التراكم ، CISA”https://www.infosecurity-magazine.com/news/cisa-launches-vulnrichment-program/”أطلقت برنامج “Vulnricment” الخاص به للمساعدة في معالجة فجوة التحليل ، مع الترويج لنهج أكثر توزيعًا يسمح للشركاء المعتمدين عدة بنشر البيانات المخصصة.
يقول ساندي راديسكي ، المدير المساعد للوكالة لإدارة الضعف: “تقوم CISA بتقييم كيفية تخصيص موارد محدودة بشكل مستمر لمساعدة المنظمات على تقليل خطر الضعف الذي تم الكشف عنه حديثًا”. وبدلاً من مجرد ملء الفجوة ، تشدد على ذلك ، تم إنشاء Vulnricment لتوفير معلومات إضافية فريدة ، مثل”https://www.cisa.gov/stakeholder-specific-vulnerability-categorization-ssvc”> الإجراءات الموصى بها بالنسبة لأصحاب المصلحة المحددين ، و “تقليل تبعية دور الحكومة الفيدرالية ليكون المزود الوحيد لإثراء الضعف.”
وفي الوقت نفسه ، سارعت NIST إلى”https://www.usaspending.gov/award/CONT_AWD_1333ND24FNB770091_1341_1333ND24DNB770002_1341″> توظيف المقاولين للمساعدة”https://www.nist.gov/itl/nvd/nvd-news”> مسح التراكم.”https://www.usaspending.gov/award/CONT_AWD_1333ND24FNB770091_1341_1333ND24DNB770002_1341″> على الرغم من العودة إلى مستويات المعالجة قبل الأزمة ، تفوقت طفرة في نقاط الضعف التي تم الكشف عنها حديثًا إلى NVD على هذه الجهود. حالياً،”https://nvd.nist.gov/general/nvd-dashboard”> أكثر من 25000 نقاط الضعف في انتظار المعالجة – nearly”https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/”> 10 أضعاف أعلى مستوى سابق في عام 2017 ، وفقًا للبيانات من شركة البرمجيات. قبل ذلك ، مواكبة NVD إلى حد كبير مع منشورات CVE ، مع الحفاظ على الحد الأدنى من تراكم.
وقال ماثيو شول ، رئيس قسم أمن الكمبيوتر في مختبر تكنولوجيا المعلومات في NIST ، “لقد كانت الأمور مزعجة ، وقد مررنا بأوقات تغيير في جميع المجالات”https://www.youtube.com/watch?v=BLu9ebR88uQ”> حدث الصناعة في أبريل. “لقد أكدت لي القيادة وكل شخص أن NVD هو وسيظل أولوية مهمة لـ NIST ، سواء في توفير الموارد أو القدرات.” غادر شول نيست في مايو بعد 20 عامًا في الوكالة ، ورفض NIST التعليق على التراكم.
لقد دفع الوضع الآن إجراءات حكومية متعددة ، مع وزارة التجارة”https://www.infosecurity-magazine.com/news/us-government-launches-audit-nist/”> إطلاق تدقيق NVD في مايو والديمقراطيين في مجلس النواب يدعون إلى أ”https://cyberscoop.com/gao-vulnerability-management-letter-cve-nvd-bennie-thompson-zoe-lofgren/”> تحقيق أوسع لكلا البرنامجين في يونيو. لكن الأضرار التي لحقت بالثقة هي بالفعل تحويل الجغرافيا السياسية والسلاسل التوريد مع استعداد فرق الأمن لعصر جديد من المخاطر السيبرانية. يقول روز غوبتا ، الذي يبني ويدير برامج إدارة الثغرات في المؤسسات: “لقد تركت ذوقًا سيئًا ، ويدرك الناس أنهم لا يستطيعون الاعتماد على هذا”. “حتى لو جمعوا كل شيء معًا غدًا بميزانية أكبر ، لا أعرف أن هذا لن يحدث مرة أخرى. لذلك يجب أن أتأكد من أن لدي عناصر تحكم أخرى في مكانها.”
نظرًا لأن هذه الموارد العامة تتعثر ، فإن المنظمات والحكومات تواجه ضعفًا حرجًا في البنية التحتية الرقمية لدينا: تعتمد خدمات الأمن السيبراني العالمية الأساسية على شبكة معقدة من مصالح الوكالة الأمريكية والتمويل الحكومي الذي يمكن قطعه أو إعادة توجيهه في أي وقت.
أمنية وليوت
أصبح ما بدأ بمثابة مجموعة من نقاط الضعف البرمجية في عصر الإنترنت المبكرة بمثابة انهيار جليدي لا يمكن إيقافه ، وقد كافحت قواعد البيانات المجانية التي تتبعتها لعقود من الزمن لمواكبة ذلك. في أوائل يوليو ، عبرت قاعدة بيانات CVE”https://nvd.nist.gov/general/nvd-dashboard”> أكثر من 300000 نقاط الضعف الفهرسة. الأرقام تقفز”https://www.cve.org/about/Metrics”> بشكل غير متوقع كل عام ، وأحيانًا بنسبة 10 ٪ أو أكثر من ذلك بكثير. حتى قبل أزمةها الأخيرة ، كان NVD”https://www.tenable.com/blog/mind-the-gap-how-waiting-for-nvd-puts-your-organization-at-risk”> سيئ السمعة لتأخر النشر من تحليلات الضعف الجديدة ، وغالبا ما تتخلف عن برامج الأمن الخاصة ومستشارات البائعين بأسابيع أو أشهر.
شاهدت Gupta المؤسسات التي تعتمد بشكل متزايد برامج إدارة الضعف التجاري (VM) والتي تتضمن خدمات استخبارات التهديد الخاصة بها. وتقول: “لقد أصبحنا بالتأكيد مبالغين في أدوات VM الخاصة بنا” ، وهي تصف الاعتماد المتزايد على فرق الأمن على البائعين مثل Qualys و Rapid7 ، ومراجعة لاستكمال أو استبدال قواعد البيانات العامة غير الموثوقة. تجمع هذه المنصات بين أبحاثها الخاصة ومصادر البيانات المختلفة لإنشاء درجات مخاطر خاصة تساعد الفرق على إعطاء الأولوية للإصلاحات. ولكن لا يمكن لجميع المنظمات أن تملأ فجوة NVD بأدوات أمان متميزة. “الشركات الأصغر والشركات الناشئة ، بالفعل في وضع غير مؤات ، ستكون أكثر عرضة للخطر” ، كما أوضحت.
يصف كومال راوات ، وهو مهندس أمن في نيودلهي الذي تتمتع شركة ناشئة السحابة في منتصف المرحلة بميزانية محدودة ، التأثير بعبارات صارخة: “إذا ذهب NVD ، فستكون هناك أزمة في السوق. لم تكن قواعد البيانات الأخرى شائعة ، وبقدر ما يتم تبنيها ، فهي غير مجانية.
إن التراجع المتنامي يعني أن الأجهزة الجديدة قد تكون أكثر عرضة للضعف في الضعف – سواء كان ذلك أ”https://www.mozillafoundation.org/en/blog/mozilla-publishes-ring-doorbell-vulnerability-following-amazons-apathy/”> جرس الباب الدائري في المنزل أو”https://www.securityweek.com/exploited-building-access-system-vulnerability-patched-years-after-disclosure/”> نظام التحكم في الوصول “الذكي” لمبنى المكاتب. قد تكون أكبر خطر هو “لمرة واحدة” عيوب أمنية تطير تحت الرادار. يقول غوبتا: “هناك الآلاف من نقاط الضعف التي لن تؤثر على غالبية الشركات”. “هؤلاء هم الذين لا نحصل على تحليل ، مما سيتركنا في خطر.”
تقر NIST بأنها محدودة الوضوح التي تتأثر بها المنظمات أكثر من التراكم. يقول متحدث باسم “لا نتبع الصناعات التي تستخدم المنتجات وبالتالي لا يمكن قياس التأثير على صناعات محددة”. بدلاً من ذلك ، يعطي الفريق أولوية نقاط الضعف على أساس CISA”https://www.cisa.gov/known-exploited-vulnerabilities-catalog”> قائمة مآثر معروفة وتلك المدرجة في استشارات البائعين مثل Microsoft Patch الثلاثاء.
أكبر الضعف
شاهد براين مارتن هذا النظام يتطور – ويتدهور – من الداخل. وهو عضو سابق في مجلس إدارة CVE وقائد مشروع أصلي وراء قاعدة بيانات الضعف المفتوحة المصدر ، قام ببناء سمعة سلبية على مدار العقود كمؤرخ وممارس بارز. يقول مارتن إن مشروعه الحالي ، Vulndb (جزء من Flashpoint Security) يتفوق على قواعد البيانات الرسمية التي ساعد ذات مرة في الإشراف عليها. “يعالج فريقنا المزيد من نقاط الضعف ، في تحول أسرع بكثير ، ونفعل ذلك لجزء بسيط من التكلفة ،” he says, referring to the tens of millions in government contracts that support the current system.
When we spoke in May, Martin said his database contains more than 112,000 vulnerabilities with no CVE identifiers—security flaws that exist in the wild but remain invisible to organizations that rely solely on public channels. “If you gave me the money to triple my team, that non-CVE number would be in the 500,000 range,” he said.
In the US, official vulnerability management duties are split between a web of contractors, agencies, and nonprofit centers like the Mitre Corporation. Critics like Martin say that creates potential for redundancy, confusion, and inefficiency, with layers of middle management and relatively few actual vulnerability experts. Others defend the value of this fragmentation. “These programs build on or complement each other to create a more comprehensive, supportive, and diverse community,” CISA said in a statement. “That increases the resilience and usefulness of the entire ecosystem.”
As American leadership wavers, other nations are stepping up. China now operates multiple vulnerability databases, some surprisingly robust but tainted by the possibility that they are subject to state control. In May, the European Union accelerated the launch of its own database, as well as a decentralized “Global CVE” architecture. Following social media and cloud services, vulnerability intelligence has become another front in the contest for technological independence.
That leaves security professionals to navigate multiple potentially conflicting sources of data. “It’s going to be a mess, but I would rather have too much information than none at all,” says Gupta, describing how her team monitors multiple databases despite the added complexity.
Resetting software liability
As defenders adapt to the fragmenting landscape, the tech industry faces another reckoning: Why don’t software vendors carry more responsibility for protecting their customers from security issues? Major vendors routinely disclose—but don’t necessarily patch—thousands of new vulnerabilities each year. A single exposure could crash critical systems or increase the risks of fraud and data misuse.
For decades, the industry has hidden behind legal shields. “Shrink-wrap licenses” once forced consumers to broadly waive their right to hold software vendors liable for defects. Today’s end-user license agreements (EULAs), often delivered in pop-up browser windows, have evolved into incomprehensibly long documents. Last November, a lab project called “eulas of thepair“استخدم طول الحرب والسلام (587،287 كلمة) لقياس هذه العقود المترامية الأطراف. أسوأ الجاني؟ Twitter ، في 15.83 رواية من طباعة غرامة.
تقول أندريا ماتويشين ، مستشارة خاصة في قانون التكنولوجيا في جامعة ولاية بنسلفانيا ، حيث توجه مختبر ابتكار السياسة في غد: “هذا خيال قانوني أنشأناه حول هذا النظام الإيكولوجي بأكمله ، وهو غير مستدام”. “يشير بعض الأشخاص إلى حقيقة أن البرامج يمكن أن تحتوي على مزيج من المنتجات والخدمات ، مما يخلق حقائق أكثر تعقيدًا. ولكن كما هو الحال في التقاضي الهندسي أو المالي ، يمكن حل أكثر السيناريوهات الفوضوية بمساعدة الخبراء.”
بدأ درع المسؤولية هذا أخيرًا في الكراك. في يوليو 2024 ، تعطل التحديث الأمني المعيب في برنامج الكشف عن نقطة النهاية الشهير من CrowdStrike ملايين أجهزة كمبيوتر Windows في جميع أنحاء العالم وتسبب في انقطاع في كل شيء من شركات الطيران إلى المستشفيات إلى 911 أنظمة. أدى الحادث إلى مليارات الأضرار المقدرة ، ومدينة”https://www.portland.gov/wheeler/news/2024/7/19/mayor-wheeler-issues-emergency-declaration-due-computer-impacts-windows”> بورتلاند ، أوريغون ، حتى أن “حالة الطوارئ” الآن ، الشركات المتأثرة مثل دلتا إيرلاينز”https://www.cnbc.com/2024/07/29/delta-hires-david-boies-to-seek-damages-from-crowdstrike-microsoft-.html”> استأجروا محامين ذوي السعر العالي لمتابعة الأضرار الكبرى – فتح إشارة للفيضانات إلى التقاضي.
على الرغم من العدد المرتفع من نقاط الضعف ، فإن العديد منهم يندرجون في فئات راسخة ، مثل حقن SQL التي تتداخل مع استفسارات قاعدة البيانات وتدفقات الذاكرة المخزن المؤقت التي تتيح تنفيذ الكود عن بُعد. يدعو Matwyshyn إلى “فاتورة برمجيات للبرمجيات” أو S-BOM-قائمة المكونات التي من شأنها أن تتيح للمؤسسات فهم المكونات ونقاط الضعف المحتملة عبر سلاسل إمداد البرمجيات الخاصة بهم. تم العثور على تقرير حديث”https://www.verizon.com/business/resources/reports/dbir/”> 30 ٪ من انتهاكات البيانات نشأت من نقاط الضعف في بائعي برامج الطرف الثالث أو مقدمي الخدمات السحابية.
وتضيف: “عندما لا يمكنك معرفة الفرق بين الشركات التي تقطع الزوايا والشركة التي استثمرت حقًا في القيام بعملها بشكل صحيح ، فإن ذلك يؤدي إلى سوق يخسر فيه الجميع”.
تشارك CISA Leadership هذا الشعور ، حيث يؤكد متحدث باسم “مبادئها الآمنة” ، مثل “إتاحة ميزات الأمان الأساسية دون تكلفة إضافية ، والقضاء على فئات نقاط الضعف ، وبناء المنتجات بطريقة تقلل من عبء الأمن السيبراني على العملاء”.
تجنب “العصر الظلام” الرقمي
من المحتمل ألا يكون من المستغرب أن يتطلع الممارسون إلى الذكاء الاصطناعى للمساعدة”https://www.technologyreview.com/2025/04/04/1114228/cyberattacks-by-ai-agents-are-coming/”> الهجمات الإلكترونية من قبل وكلاء الذكاء الاصطناعي. الباحثون الأمن لديهم”https://sean.heelan.io/2025/05/22/how-i-used-o3-to-find-cve-2025-37899-a-remote-zeroday-vulnerability-in-the-linux-kernels-smb-implementation/”> استخدم نموذج Openai لاكتشاف نقاط الضعف الجديدة “صفر”. وكلاهما”https://www.infosecurity-magazine.com/news/nvd-revamps-operations-cve-surge/”> NVD و”https://www.first.org/resources/papers/vulncon25/CVE-Glow-Up-.pdf”> CVE تقوم الفرق بتطوير “أدوات تعمل الذكاء الاصطناعي” للمساعدة في تبسيط جمع البيانات وتحديدها ومعالجتها. يقول NIST إنه “تم إنفاق ما يصل إلى 65 ٪ من وقت تحليلنا في توليد CPEs” – رموز معلومات المنتج التي تحدد البرامج المتأثرة. إذا تمكنت AI من حل جزء من هذه العملية الشاقة ، فقد يؤدي ذلك إلى تسريع خط أنابيب التحليل بشكل كبير.
لكن مارتن يحذر من التفاؤل حول الذكاء الاصطناعي ، مشيرًا إلى أن التكنولوجيا لا تزال غير مثبتة وغالبًا ما تكون مليئة بعدم الدقة – والتي يمكن أن تكون قاتلة في الأمن. “بدلاً من الذكاء الاصطناعي أو مل [machine learning]، هناك طرق لأتمتة أجزاء أتمتة من معالجة ذلك بشكل استراتيجي يقول: “بيانات الضعف مع ضمان دقة 99.5 ٪”.
فشل الذكاء الاصطناعي أيضًا في مواجهة التحديات الأساسية في الحوكمة. مؤسسة CVE ، التي تم إطلاقها في أبريل 2025 من قبل أعضاء مجلس الانفصال ،”https://www.thecvefoundation.org/”> يقترح نموذج غير ربحية ممول عالميًا على غرار نظام معالجة الإنترنت ، الذي انتقل من سيطرة الحكومة الأمريكية إلى الحوكمة الدولية. يضغط قادة الأمن الآخرون على تنشيط بدائل مفتوحة المصدر مثل”https://opensource.googleblog.com/2024/04/osv-and-helping-developers-fix-known-vulnerabilities.html”> مشروع OSV من Google أو”https://vulncheck.com/nvd2″> NVD ++ (تحتفظ بها Vulncheck) ، والتي يمكن الوصول إليها للجمهور ولكن لديها حاليًا موارد محدودة.
نظرًا لأن هذه الجهود الإصلاحية المختلفة تكتسب زخماً ، فإن العالم يستيقظ على أن ذكاء الضعف – مثل مراقبة الأمراض أو سلامة الطيران – يتطلب التعاون المستمر والاستثمار العام. وبدون ذلك ، فإن مجموعة من قواعد البيانات المدفوعة هي كل ما تبقى ، ويهدد ترك جميع أغنى المنظمات والأمم المعرضة بشكل دائم.
ماثيو كينج هو صحفي تقني وبيئي ومقره نيويورك. عمل سابقا في شركة الأمن السيبراني Tenable.