لو بتصيانة كود عمره أكتر من 10 سنين، أو بتشتغل على بنية تحتية عامة، خبر 8 أبريل من Anthropic بيغيّر أولوياتك الأسبوع ده. مش علشان نموذج جديد نزل، علشان النموذج ده لقى ثغرة في OpenBSD قاعدة 27 سنة ما لمحها بشر ولا أدوات static analysis طول الفترة دي.

Claude Mythos 5: انعكاسات عملية على الأمن وقاعدة الكود

المشكلة باختصار

في 8 أبريل 2026 أعلنت Anthropic رسمياً عن Mythos Preview، نسخة معاينة من Claude Mythos 5. النموذج ده أول frontier model تقولنا شركة صراحة إنه في حدود 10 تريليون بارامتر، بمعمارية Mixture of Experts يتنشّط منها تقديراً 800B إلى 1.2T بارامتر لكل token.

الأرقام وحدها مش الخبر. اللي بيحصل فعلاً إن النموذج، في أقل من 20 ألف دولار حساب و~1000 scaffold run، لقى ثغرة في تطبيق TCP SACK في OpenBSD بتخلّي أي host يرد على TCP يقع. الثغرة موجودة في الكود من سنة 1999. OpenBSD من أقوى أنظمة التشغيل من حيث الـ code review وثقافة الأمان. لو النموذج ده لقى حاجة هناك، احسبها هتلاقي أكتر في كودك.

ليه 10 تريليون بارامتر + MoE مش مجرد رقم

معمارية MoE معناها النموذج مش كله بيشتغل على كل طلب. فيه router بيختار عدد من الـ experts لكل token. يعني سعر الاستنتاج أقل بكتير من dense model بنفس الحجم الإسمي، والسرعة معقولة برغم الضخامة.

المكسب العملي: قدرة التعميم على مجالات ضيّقة — زي تحليل كود C بـ coding standards من أيام التسعينات — بقت متاحة بدون نموذج متخصص. الـ trade-off: تكلفة التدريب والـ routing overhead كبيرة جداً. ده جزء من السبب إن Anthropic قررت ما تفتحش النموذج للعامة، بس مش السبب الرئيسي.

Project Glasswing: ليه الوصول مقفول على 11 جهة

بدل ما تنزّل النموذج عام، Anthropic عملت برنامج اسمه Project Glasswing. الوصول محصور في مؤسسات محددة: AWS، Apple، Broadcom، Cisco، CrowdStrike، Google، JPMorgan Chase، Linux Foundation، Microsoft، NVIDIA، و Palo Alto Networks.

السبب المعلن: قدرات الـ offensive security عالية لدرجة خطرة لو اتاحت عام قبل ما الـ defenders يلحقوا. مصدر Help Net Security ذكر إن Mythos في التجارب الداخلية لقى آلاف الـ zero-days عبر أنظمة تشغيل و browsers رئيسية.

بتكسب: الجهات دي هتسد ثغرات في البنية التحتية العالمية قبل ما تتسرّب. بتخسر: ميزة الـ security تبع Mythos بقت exclusivity للشركات الكبيرة لفترة غير معلومة، والفرق بين مَن يملك الأداة ومَن لا يملكها في نمو. الافتراض إن موديلات مفتوحة أصغر هتلحق خلال 6–12 شهر بناءً على ما نشرته The Decoder بخصوص تجارب على Qwen وDeepSeek.

الانعكاس العملي على كودك خلال الأسبوع القادم

إنت مش هتستخدم Mythos مباشرة. لكن 3 قرارات بقت واجبة:

1. dependencies عمرها أكتر من 10 سنين لازم تتراجع. خصوصاً مكتبات C/C++ اللي في الـ critical path. احتمال كبير إن ثغرات مشابهة موجودة وبقت على قائمة الـ hunters.
2. patching cadence لازم يقصر. لو الشركات الكبيرة بتكتشف zero-days بسرعة، تسرّب exploits في الـ underground هيكون أسرع. دورة الـ patch شهرية مش كفاية دلوقتي لـ systems معرّضة للإنترنت.
3. dependency scanning بقى أولوية مش nice-to-have. أدوات زي Trivy أو Grype على الـ CI بتكشف CVEs الجديدة اللي هتنزل بنسبة كبيرة نتيجة الموجة دي.

# .github/workflows/security.yml
name: daily-vuln-scan
on:
  schedule:
    - cron: "0 3 * * *"
  push:
    branches: [main]
jobs:
  scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Trivy FS scan
        uses: aquasecurity/trivy-action@master
        with:
          scan-type: fs
          severity: CRITICAL,HIGH
          exit-code: "1"
          ignore-unfixed: true

السكربت ده بيشغّل Trivy كل يوم الساعة 3 صباحاً وبيقفل الـ PR لو فيه CVE critical أو high. الافتراض إنك على GitHub Actions. لو بتستخدم GitLab CI، نفس الفكرة مع أمر trivy fs مباشر بدون الـ action.

trade-offs لازم تحسبها قبل التطبيق

التغطية الكاملة مكلفة. Trivy على repo متوسط ممكن ياخد 2–4 دقايق على كل push. في فرق بتشتغل بـ 50+ merge يومياً، ده معناه ~3 ساعات CI minutes إضافية يومياً. لو عندك تسعيرة $0.008 للدقيقة على GitHub hosted runner، التكلفة ~$1.5/يوم للمشروع الواحد.

البديل الأرخص: scan يومي واحد بدل على كل push، مع hook على tags فقط. بتخسر كشف الثغرات لحظة إدخالها، بتكسب 80% من التوفير. الحل ده مناسب للفرق الصغيرة اللي الـ merge rate عندها أقل من 10 في اليوم.

لما الخبر ده مش أولوية

لو بتشتغل على prototypes داخلية مش معرّضة على الإنترنت، أو مشروعك بـ stack حديث (Go أو Rust) و dependencies أقل من 50، الموجة دي مش هتغيّر أولوياتك الأسبوع ده. راقب الأخبار لما النموذج يتاح عام، بس متهدرش وقت في dependency scanning عنيف على كود داخلي منخفض الخطورة.

المصادر

• Anthropic — Claude Mythos Preview
• Help Net Security — Mythos finds zero-days across every major OS
• The Conversation — Project Glasswing analysis
• Simon Willison — Project Glasswing
• The Hacker News — Mythos discovers thousands of zero-day flaws
• The Decoder — Small open models hunt similar bugs

الخطوة التالية

افتح الـ CI بتاعك دلوقتي واتأكد إن فيه dependency scanner شغّال. لو مفيش، انسخ الـ workflow فوق في ملف جديد .github/workflows/security.yml. شغّله يدوي مرة على الـ main. لو رجّع أكتر من 10 critical CVEs، دي إشارة مباشرة إن فيه تحديث مؤجّل هتحتاجه قبل الأسبوع الجاي.