دخلت شركة مايكروسوفت في مواجهة علنية جديدة مع باحث أمني يُعرف باسم (Nightmare Eclipse) بعد أن نشر تفاصيل عدة ثغرات غير مُعالجة مع شيفرة استغلالها، وقد هددت الشركة بأنها قد تتخذ إجراءات قانونية وتُبلغ جهات إنفاذ القانون. وتدور هذه الأزمة حول ثغرات أثرت في منتجات حساسة مثل برنامجي Windows Defender وBitLocker، وهي أسماء تجعل القصة أكثر خطورة من مجرد خلاف تقني عابر.
لماذا غضبت شركة مايكروسوفت؟
تقول مايكروسوفت إن المشكلة ليست في اكتشاف الثغرات نفسه إنما في نشرها علناً قبل التنسيق معها لإصلاحها وفعلياً موقف الشركة الرسمي يعتمد على فكرة أن الباحثين يجب أن يبلغوا الشركة أولاً ثم يتركوا وقت كافٍ لإصدار التحديثات قبل الإعلان العام.
وفي صفحة الإفصاح المنسق عن الثغرات تشرح شركة مايكروسوفت أن الباحث يشارك التفاصيل مع المورّد بشكل خاص، ثم يُنشر الحديث العام بعد توفير الحل الاساسي أو الحلول المؤقتة للثغرة، وإذا كانت هناك هجمات جارية فالتنسيق يصبح أسرع وأدق لحماية المستخدمين.
الإفصاح المنسق عن الثغرات هو أن يبلّغ الباحث الشركة بالثغرة أولاً بصورة خاصة، ثم ينتظر وقتاً مناسباً حتى تُصدر الشركة تحديث أو حل مؤقت قبل النشر العام.
ولكن ما أثار الانفجار الحقيقي هو أن مايكروسوفت لم تكتفِ بالاعتراض، إنما هددت بالتحقيق الجنائي بحق الباحث لهذا رأت شريحة واسعة من مجتمع الأمن أن الرسالة بدت كأنها تهديد بإطار جنائي لا مجرد اعتراض إداري أو تقني.
لماذا انقسم خبراء الأمن؟
الطرف المؤيد للباحث يرى أن الشركات الكبرى يجب ألا تتعامل بعصبية مع من يكتشف الثغرات؛ وذلك لأن فقدان الثقة بين الباحثين والشركات قد يقلل الإبلاغ المسؤول أصلًا.
أما الطرف الآخر فيرى أن نشر شيفرة استغلال قبل التصحيح قد يحول الثغرة من مشكلة مكتشفة إلى خطر عملي يمكن أن يستفيد منه المهاجمون فوراً. وفي الواقع هذا ليس مجرد نقاش نظري؛ ففعلاً بعض الثغرات المرتبطة بهذه القضية استُخدمت بالفعل في هجمات حقيقية، بحسب ما نقلته مايكروسوفت ووكالة الأمن السيبراني الأمريكية CISA.
وقد جاءت هذه الواقعة في وقت كانت فيه ثغرات برنامج مايكروسوفت ديفندر نفسها تتصدر المشهد الأمني، فقد ذكرت تقارير حديثة أن مايكروسوفت أصلحت ثغرتين تم استغلالهما فعلياً داخله في ذات الوقت الذي أصدرت فيه مايكروسوفت مؤخراً تقرير تؤكد به أن برنامج ديفندر كافي لتأمين حماية تامة لنظام الويندوز.
ما الذي يجعل هذه القصة مهمة للمستخدمين العاديين؟
تكمن أهمية الموضوع بأنه يوضح أن الأمن السيبراني ليس معركة بين شركة وهاكر فقط، إنما هو توازن حساس بين حق الباحث في الكشف وحق المستخدم في الحماية من الفيروسات والهجمات السيبرانية .
ولهذا تكرر مايكروسوفت في صفحاتها الرسمية أن MSRC هو مركز الإبلاغ والتنسيق، وأن برنامج المكافآت قائم على الإبلاغ المنسق والموثّق لا على النشر العشوائي للثغرات.
وفي المقابل تبرز القصة سؤالاً أوسع؛ فهل يكفي أن تقول الشركة إنها تدعم الإفصاح المنسق إذا شعر الباحثون أن قنوات الإبلاغ نفسها قد تُغلق في وجوههم؟
• لا يتحمّل عربي Daily Post المسؤولية عن أي قرارات مبنية على المحتوى المنشور.
• للاطلاع على معايير العمل التحريري يمكن مراجعة سياسة التحرير، وللتفاصيل القانونية يُرجى الرجوع إلى البند (6) من اتفاقية الاستخدام المتعلق بإخلاء المسؤولية وحدود المسؤولية.
تم الاعتماد في كتابة هذا المقال على المصادر التالية:
• مقال منشور بتاريخ 2026/05/27م في موقع شركة مايكروسوفت.
• مقال منشور بتاريخ 2026/05/29م في موقع TechCrunsh.
تم إعداد هذا المقال بواسطة فريق عربي Daily Post وفق منهجية تحريرية تعتمد على جمع المعلومات من مصادر موثوقة، ثم مراجعتها وتدقيقها وتحليلها، لضمان دقة المحتوى وموثوقيته بما يتوافق مع أعلى معايير المهنية والشفافية.
