المحتوى
بحسب ما نعلم، لا توجد أي مؤسسة من مؤسسات الاتحاد الأوروبي لديها حتى الآن وصول تشغيلي عبر Project Glasswing، إلى النموذج الأكثر تقدمًا في الأمن السيبراني - بينما تم إطلاع بنك إنجلترا، والاحتياطي الفيدرالي، ووزارة الخزانة الأمريكية. أعلنت Anthropic في 7 أبريل 2026 عن Claude Mythos Preview، وهو أول نموذج frontier يتم اختياره صراحة لأسباب تتعلق بالأمن السيبراني بدلاً من نشره علنًا. يكتشف النموذج ويستغل بشكل مستقل الثغرات zero-day: في اختبار ExploitBench (كارنيجي ميلون/Bugcrowd، مايو 2026)، يصل إلى تنفيذ التعليمات البرمجية التعسفية على 21 من 41 CVE تم اختبارها، بينما لا ينجح أي نموذج عام آخر في أي منها. الوصول مقيد بـ Project Glasswing، وهو تحالف يضم حوالي 40 منظمة تقوده اثنتا عشرة مؤسسة أمريكية - AWS، Apple، Cisco، CrowdStrike، Google، JPMorgan Chase، Microsoft، NVIDIA، Palo Alto Networks، Broadcom، Linux Foundation و Anthropic. لا توجد أي مؤسسة أوروبية لديها وصول في نفس التاريخ، بينما اقتصر البنك المركزي الأوروبي على دعوة البنوك في المنطقة لزيادة الوعي بالمخاطر، دون إحاطة معادلة. كما ذكرت Les Echos في 27 مايو 2026، تشير دراسة حصرية لشركة Sia Partners إلى ميزة هجومية بمقدار 100 إلى 1 - رقم مشروط بسيناريو نشر خبيث للنموذج، والذي يعيد هذا المقال النظر فيه.
تفرد تقني قابل للقياس، ولكنه مكلف
يمكن قراءة انخفاض القدرة لـ Mythos أولاً في الاختبارات المستقلة. في ExploitBench، كلفت عملية الاختبار الكاملة حوالي 36,428 دولارًا مقابل 3,075 دولارًا لـ GPT-5.5 عبر Codex، أي بنسبة حوالي 12 مرة. التكلفة الإجمالية تضع Mythos خارج متناول أي جهة انتهازية، لكن الفارق في القدرة لا يزال موثقًا: من بين النماذج الثمانية المنشورة علنًا، فقط GPT-5.5 اجتاز اختبار الأمان ووصل إلى التحكم في تدفق التحكم عبر خطأ واحد في WebAssembly. من ناحية فرق الاختبار المؤسسي، يلاحظ معهد الأمن السيبراني البريطاني تسارعًا مستمرًا: قدرت الوكالة في نوفمبر 2025 مضاعفة القدرات السيبرانية كل ثمانية أشهر، والتي تمت مراجعتها إلى 4.7 أشهر في فبراير 2026، وMythos مثل GPT-5.5 يتجاوزان الآن هذا المسار المتسارع. Mythos هو أول نموذج يكمل النطاقين السيبرانيين لمعهد الأمن السيبراني البريطاني: ستة نجاحات من عشر محاولات على محاكاة الهجوم في 32 خطوة على شبكة الشركة، والتي يستغرق خبير بشري حوالي عشرين ساعة لحلها، وثلاثة من عشرة على المحاكاة الصناعية «Cooling Tower». إلى هذه الأرقام، تضيف Anthropic اكتشافًا مستقلًا لآلاف الثغرات zero-day في أنظمة التشغيل والمتصفحات الرئيسية، أكثر من 99% منها غير مرقعة عند النشر - أرقام داخلية موثقة في system card من 244 صفحة، والتي يظل نطاقها الدقيق غير قابل للمراجعة من قبل طرف ثالث أوروبي.
فجوة ضيقة بالفعل: open-weight يسد جزء كبير من الفجوة
تفرد Mythos يخفي حركة موازية تقلل من نطاقه الاستراتيجي. تظهر ورقة بحثية نشرت في arXiv في مايو 2026 أن Qwen3.6-27B يحقق 33% من النجاح في الاستنساخ الذاتي التلقائي على بطاقة واحدة A100، على قدم المساواة مع الجيل الحالي GPT-5.4 وفوق الجيل السابق frontier، حيث بلغ Opus 4 6% وGPT-5 0%. يتم تشغيل النموذج على A100 مقابل 1 إلى 2 دولار في الساعة عبر مزودي cloud، ويقع ضمن عتبة 40 مليار معلمة التي حددها معهد Epoch AI لعصر RTX 5090 - وبالتالي في متناول الأجهزة العامة. تم تأكيد الصدى من جانب CISO: وفقًا لتحليل شركة استشارية سويسرية InfoGuard تستند إلى أعمال منظمة متخصصة AISLE، تعيد النماذج الثمانية open-weight اختبار اختراق FreeBSD المقدم كدليل على تفوق Mythos، أحدها بـ 3.6 مليار معلمة نشطة مقابل حوالي 0.11 دولار لكل مليون tokens. يتركز الفارق في القدرة المتبقي على نطاق ضيق: يتطلب تنفيذ التعليمات البرمجية التعسفية على CVEs الحقيقية المتطلبة. هذا هو الفرق الذي يبنى عليه ميزة 100 إلى 1 التي تقدمت بها Sia Partners وكشفتها Les Echos - رقم يعتمد صراحة على سيناريو Mythos "في أيدي خبيثة" مع دفاع شبه غائب، والذي تصفه AISI البريطانية نفسها بأنه "مهاجم في مواجهة أسوأ حارس مرمى في العالم" (ترجمة حرة). تقوم Sia Partners أيضًا بتسويق كتاب إرشادي RSSI/DSI يوضح تهديدات الأمن السيبراني للذكاء الاصطناعي وفقًا لتسعة محاور تشغيلية قائمة على نفس الملاحظة، وهو تضارب مصالح لم يذكره مقال Les Echos.
Glasswing: نطاق أمريكي، تنبيهات غير متكافئة
بعيدًا عن الاثني عشر مؤسسًا الذين تم تسميتهم بالفعل، تجمع التحالف وفقًا لـ InfoGuard شركات مختارة مثل JPMorgan Chase، Goldman Sachs وبعض مزودي cloud وOS، للاستخدام الدفاعي. بقية الاقتصاد ليس لديه وصول. تعكس سلسلة التنبيه هذا النطاق: قامت Anthropic بإطلاع الاحتياطي الفيدرالي، ووزارة الخزانة الأمريكية، ووكالة الأمن السيبراني والبنية التحتية، وبنك إنجلترا، وعقد وزير الخزانة Scott Bessent ورئيس الاحتياطي الفيدرالي Jerome Powell اجتماعًا طارئًا مع الرؤساء التنفيذيين للبنوك الكبرى للإشارة إلى التهديد المحدد للنموذج. من ناحية منطقة اليورو، دعا البنك المركزي الأوروبي البنوك في المنطقة لزيادة الوعي بالمخاطر، دون إحاطة معادلة لتلك التي قدمتها Anthropic لبنك إنجلترا. خلال مؤتمر صحفي في 28 أبريل 2026، أكد المتحدث باسم المفوضية Thomas Regnier أن المؤسسة الأوروبية لا تزال لا تملك وصولًا إلى Project Glasswing، معلنًا أن "المخاوف الأمنية السيبرانية لا تزال بحاجة إلى معالجة" وأن الشركة "تتواصل بحسن نية"، دون الالتزام بجدول زمني. اعتبارًا من 29 مايو 2026، لم تنشر ANSSI ولا ENISA أي موقف رسمي بشأن Mythos أو على إجراء تقييم قد يفتح هذا الوصول - صمت موثق، يتناقض مع التعبئة المؤسسية الأمريكية والبريطانية.
"100 مقابل 1" يعتمد على شرطين متراكمين
اللا تماثل الذي حسبته Sia Partners مشروط: يفترض أن جهة ضارة تحصل على الوصول إلى Mythos - وهو الآن مقيد بحوالي أربعين منظمة تحت Project Glasswing - وأن الدفاع يبقى شبه غائب. يوضح معهد الأمن السيبراني البريطاني، الذي تحقق من معدل نجاح بنسبة 73% في مهام القرصنة الخبيرة، أن Mythos قد تم تقييمه "ضد دفاعات شبه معدومة" - يتحدث أحد المقيمين عن "مهاجم في مواجهة أسوأ حارس مرمى في العالم". في بيئة إنتاج صلبة بشكل صحيح، يكون المشهد مختلفًا. بالإضافة إلى ذلك، تقوم Sia Partners بتسويق كتاب إرشادي RSSI/DSI بناءً على نفس الملاحظة، مما يمثل مصلحة مباشرة يجب أخذها كعنصر نقدي في القراءة.
فجوة مؤسسية: قبل النشر مقابل الالتزام القانوني
يفتح فرق الوصول إلى Mythos فجوة مؤسسية أعمق، مرئية في لغة التحكم في النماذج frontier. يمارس معهد الأمن السيبراني البريطاني red-teaming قبل النشر، مع حوالي 250 شخصًا وشراكات رسمية مع Anthropic، وGoogle DeepMind، وOpenAI لتقييم اللقطات النموذجية مباشرة قبل الانتشار الأوسع. تؤكد مديرة التقنية Jade Leung، المستشارة في شؤون الذكاء الاصطناعي لرئيس الوزراء البريطاني، في ResultSense في 22 أبريل 2026 أنها وجدت "ثغرات في كل نظام تم اختباره" (ترجمة حرة)، بما في ذلك Mythos. الاتحاد الأوروبي يمسك بالطرف الآخر من الطيف: وفقًا لنفس المصدر، "فضل التزامات قانونية على المطورين بدلاً من قدرة داخلية على red-teaming" (ترجمة حرة)، عبر AI Act وDORA للقطاع المالي. وضعت فرنسا أول حجر أساس للسيادة التقييمية مع إطلاق INESIA في 2025، دون نطاق قابل للمقارنة مع ذاك للAISI. هذا الخلل هو ما دفع أعضاء البرلمان الأوروبي من جميع الأطياف إلى الكتابة إلى Henna Virkkunen، نائبة رئيس المفوضية، للمطالبة بمشاركة أوروبية في Project Glasswing وتسريع بنى الثقة الصفرية. الرسالة، المؤرخة في 27 أبريل 2026، تعارض الإطار القانوني الأوروبي بمتطلب للهيكلية التشغيلية - متطلب يصطدم بأساس الموارد القطاعية. وفقًا لـ ENISA، بلغ نقص المتخصصين في الأمن السيبراني 299,000 وظيفة في الاتحاد الأوروبي في عام 2024، بزيادة قدرها 9% عن عام 2023، وميزانية الأمن السيبراني المتوسطة على نطاق NIS تصل إلى 1.5 مليون يورو - أي، وفقًا لحسابنا بناءً على هذه الميزانية وتكلفة تشغيل ExploitBench المنشورة بواسطة Carnegie Mellon/Bugcrowd، ما يعادل حوالي أربعين تشغيل ExploitBench على Mythos.