دخلت شركة مايكروسوفت في مواجهة علنية جديدة مع باحث أمني يُعرف باسم (Nightmare Eclipse) بعد أن نشر تفاصيل عدة ثغرات غير مُعالجة مع شيفرة استغلالها، وقد هددت الشركة بأنها قد تتخذ إجراءات قانونية وتُبلغ جهات إنفاذ القانون. وتدور هذه الأزمة حول ثغرات أثرت في منتجات حساسة مثل برنامجي Windows Defender وBitLocker، وهي أسماء تجعل القصة أكثر خطورة من مجرد خلاف تقني عابر.
لماذا غضبت شركة مايكروسوفت؟
تقول مايكروسوفت إن المشكلة ليست في اكتشاف الثغرات نفسه إنما في نشرها علناً قبل التنسيق معها لإصلاحها وفعلياً موقف الشركة الرسمي يعتمد على فكرة أن الباحثين يجب أن يبلغوا الشركة أولاً ثم يتركوا وقت كافٍ لإصدار التحديثات قبل الإعلان العام.
وفي صفحة الإفصاح المنسق عن الثغرات تشرح شركة مايكروسوفت أن الباحث يشارك التفاصيل مع المورّد بشكل خاص، ثم يُنشر الحديث العام بعد توفير الحل الاساسي أو الحلول المؤقتة للثغرة، وإذا كانت هناك هجمات جارية فالتنسيق يصبح أسرع وأدق لحماية المستخدمين.
الإفصاح المنسق عن الثغرات هو أن يبلّغ الباحث الشركة بالثغرة أولاً بصورة خاصة، ثم ينتظر وقتاً مناسباً حتى تُصدر الشركة تحديث أو حل مؤقت قبل النشر العام.
ولكن ما أثار الانفجار الحقيقي هو أن مايكروسوفت لم تكتفِ بالاعتراض، إنما هددت بالتحقيق الجنائي بحق الباحث لهذا رأت شريحة واسعة من مجتمع الأمن أن الرسالة بدت كأنها تهديد بإطار جنائي لا مجرد اعتراض إداري أو تقني.
لماذا انقسم خبراء الأمن؟
الطرف المؤيد للباحث يرى أن الشركات الكبرى يجب ألا تتعامل بعصبية مع من يكتشف الثغرات؛ وذلك لأن فقدان الثقة بين الباحثين والشركات قد يقلل الإبلاغ المسؤول أصلًا.
أما الطرف الآخر فيرى أن نشر شيفرة استغلال قبل التصحيح قد يحول الثغرة من مشكلة مكتشفة إلى خطر عملي يمكن أن يستفيد منه المهاجمون فوراً. وفي الواقع هذا ليس مجرد نقاش نظري؛ ففعلاً بعض الثغرات المرتبطة بهذه القضية استُخدمت بالفعل في هجمات حقيقية، بحسب ما نقلته مايكروسوفت ووكالة الأمن السيبراني الأمريكية CISA.
وقد حاءت هذه الواقعة في وقت كانت فيه ثغرات برنامج Defender نفسها تتصدر المشهد الأمني. فقد ذكرت تقارير حديثة أن مايكروسوفت أصلحت ثغرتين تم استغلالهما فعلياً داخله.
ما الذي يجعل هذه القصة مهمة للمستخدمين العاديين؟
تكمن أهمية الموضوع بأنه يوضح أن الأمن السيبراني ليس معركة بين شركة وهاكر فقط، إنما هو توازن حساس بين حق الباحث في الكشف وحق المستخدم في الحماية. ولهذا تكرر مايكروسوفت في صفحاتها الرسمية أن MSRC هو مركز الإبلاغ والتنسيق، وأن برنامج المكافآت قائم على الإبلاغ المنسق والموثّق لا على النشر العشوائي للثغرات.
وفي المقابل تبرز القصة سؤالاً أوسع؛ فهل يكفي أن تقول الشركة إنها تدعم الإفصاح المنسق إذا شعر الباحثون أن قنوات الإبلاغ نفسها قد تُغلق في وجوههم؟
تم الاعتماد في كتابة هذا المقال على المصادر التالية:
• مقال منشور بتاريخ 2026/05/27م في موقع شركة مايكروسوفت.
• مقال منشور بتاريخ 2026/05/29م في موقع TechCrunsh.
تم إعداد وتدقيق هذا الخبر بواسطة فريق عربي Daily Post وفق المعايير المهنية المعتمدة في العمل الإخباري، بما يضمن دقة المعلومات واتساقها التحريري قبل النشر.
