مع اقتراب نهاية عام 2025، أصبح واضحًا أن أساليب الحماية التقليدية لم تعد كافية أمام موجة جديدة من التهديدات السيبرانية. الذكاء الاصطناعي، هجمات الحقن، والاعتماد على سلاسل توريد برمجية غير آمنة فرضت إعادة التفكير جذريًا في استراتيجيات الدفاع. فيما يلي أبرز خمسة تهديدات أعادت رسم ملامح أمن الويب هذا العام.
1. برمجة “Vibe Coding” المدعومة بالذكاء الاصطناعي
انتقلت البرمجة الطبيعية عبر الذكاء الاصطناعي من مجرد تجربة إلى واقع إنتاجي، حيث استخدم نحو 25% من شركات Y Combinator هذه التقنية لبناء أنظمة أساسية. لكن النتائج كشفت أن 45% من الأكواد المولدة آليًا تحتوي على ثغرات قابلة للاستغلال، مع معدل خطورة مرتفع في لغة Java وصل إلى 70%. حادثة منصة Base44 في يوليو 2025 أبرزت خطورة الاعتماد على منصات البرمجة بالذكاء الاصطناعي، إذ سمحت ثغرة بتجاوز المصادقة والوصول إلى تطبيقات خاصة دون إذن.
2. هجمات حقن JavaScript واسعة النطاق
في مارس 2025، تعرضت أكثر من 150,000 موقع لهجمات حقن JavaScript مرتبطة بمنصات قمار صينية، مستخدمة تقنيات متقدمة مثل prototype pollution وDOM-based XSS. هذه الهجمات أعادت إلى الأذهان حادثة Polyfill.io عام 2024، لكنها جاءت أكثر تنظيمًا واتساعًا، مستهدفة جلسات مصرفية تجاوزت 50,000 جلسة عبر ثلاث قارات.
3. هجمات Magecart/E-skimming 2.0
شهدت هجمات Magecart ارتفاعًا بنسبة 103% خلال ستة أشهر، حيث استغل المهاجمون مكتبات برمجية موثوقة مثل Modernizr لزرع أكواد خبيثة على صفحات الدفع. الحملة المرتبطة بالنطاق cc-analytics[.]com سرقت بيانات بطاقات الدفع من آلاف المواقع التجارية، مع استخدام تقنيات متقدمة مثل DOM shadow manipulation وWebSocket connections لتجنب الاكتشاف.
4. هجمات سلسلة توريد الذكاء الاصطناعي
قفزت عمليات رفع الحزم الخبيثة إلى المستودعات المفتوحة بنسبة 156% في 2025، مع ظهور برمجيات متغيرة ذاتيًا (polymorphic malware) يصعب اكتشافها. أبرز مثال كان Shai-Hulud Worm الذي انتشر بين سبتمبر وديسمبر، مستغلًا أدوات سطر أوامر مدعومة بالذكاء الاصطناعي لاختراق أكثر من 500 حزمة npm و25,000 مستودع GitHub خلال 72 ساعة فقط.
5. فشل التحقق من خصوصية الويب
الأبحاث أظهرت أن 70% من المواقع الأمريكية الكبرى تواصل إسقاط ملفات تعريف الارتباط الإعلانية حتى بعد رفض المستخدمين لها، ما أدى إلى غرامات بملايين الدولارات وانتهاكات لقوانين مثل CCPA وHIPAA. قضية Capital One في مارس 2025 وسّعت نطاق المسؤولية القانونية لتشمل مشاركة بيانات حساسة عبر أدوات تتبع مثل Meta Pixel وGoogle Analytics.
