> ## Documentation Index
> Fetch the complete documentation index at: https://docs.wolffi.sh/llms.txt
> Use this file to discover all available pages before exploring further.

# تدقيق أمني

> تدقيق أمني عند الطلب — يفحص المنافذ المفتوحة، والجدار الناري، والخدمات، وإعداد SSH، وتشفير القرص، والبرامج القديمة ذات الثغرات المعروفة (CVEs) على macOS أو Linux أو Windows

# نظرة عامة

يُجري وولف فيش تدقيقاً أمنياً شاملاً لجهازك — يفحص المنافذ المفتوحة وما يستمع عليها، وحالة الجدار الناري وإعداداته، والخدمات قيد التشغيل، وإعداد SSH، وتشفير القرص، وحمايات نظام التشغيل، ويبحث عن البرامج القديمة ذات ثغرات معروفة (CVEs). ثم يجمع كل شيء في تقرير مُهيكَل مرتَّب حسب الخطورة مع خطوات إصلاح دقيقة.

يعمل على macOS وLinux وWindows. يكتشف الوكيل نظام تشغيلك ويشغّل الأوامر المناسبة — دون أي ضبط يدوي.

لا ماسحات ثغرات تابعة لأطراف ثالثة. لا لوحات تحكم سحابية. لا وكلاء يتصلون بأي خادم. مجرد أوامر شِل + بحث على الويب لاستعلام CVE، تعمل محلياً على جهازك.

## عرض فيديو

<iframe width="100%" height="400" src="https://www.youtube.com/embed/3Ch2Y5BFSaI" title="تدقيق أمني — عرض وولف فيش" frameBorder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowFullScreen style={{ borderRadius: '8px', marginTop: '1rem', marginBottom: '1rem' }} />

## القدرات المطلوبة

* `shell` — يشغّل أوامر النظام لتدقيق حالة الجهاز المحلي (خاصة بنظام التشغيل: `lsof`/`ss`/`netstat`، وأدوات الجدار الناري، ومديري الحزم، إلخ.)
* `web-search` — يبحث عن ثغرات CVE للحزم القديمة المكتشفة أثناء التدقيق

كلتاهما تأتيان مع وولف فيش. لا حاجة لكود أو إضافات إضافية.

## الإعداد

تستخدم حالة الاستخدام هذه `shell` و`web-search` — كلاهما يحتاج إلى نموذج LLM سحابي ليعمل. اقرأ دليل [التهيئة للنجاح](/ar/use-cases/setting-up-for-success) العام للصورة الكاملة — ما يلي خاص بهذا السير.

### موصى به

* **DeepSeek v4 Pro** — يدور هذا السير حول أوامر شِل وتقارير مهيكَلة. يتعامل معه DeepSeek v4 Pro جيداً ويُبقي التكلفة منخفضة.

### مطلوب

* **وولف فيش مثبَّت ويعمل** — تطبيق سطح المكتب مع مساحة عمل دماغية مُهيأة.
* **مفتاح API سحابي** — DeepSeek أو Anthropic (Claude) أو OpenAI، مُهيأ في الإعدادات > النماذج. مطلوب لاستعلامات CVE عبر البحث على الويب وتوليد التقرير المهيكَل.
* **مدير حزم** — يعتمد فحص الحزم القديمة على مدير الحزم في نظامك. Homebrew على macOS، أو apt/dnf/pacman على Linux، أو winget/choco على Windows.

### اختياري

* **صلاحيات مرتفعة** — تحتاج بعض الأوامر إلى `sudo` (على Linux/macOS) أو Administrator (على Windows) لرؤية جميع المنصِتات وخدمات النظام وقواعد الجدار الناري. بدون صلاحيات مرتفعة، يستمر التدقيق لكنه قد يُفوّت بعض الخدمات على مستوى النظام. سيطلب منك وولف فيش (عبر Amygdala) التأكيد قبل تشغيل أي أمر يحتاج صلاحيات.

## الجدول الزمني

```
الساعة 6:00 صباحاً كل يوم
```

يومياً يكفي لمعظم الأشخاص. اضبط جدول الـ heartbeat ليتناسب مع درجة تحمّلك للمخاطر.

## الأمر

أرسل هذا إلى وولف فيش عند الطلب، أو أضفه إلى heartbeat لتشغيلات يومية مؤتمتة. عند الإرسال مباشرة، تذهب الرسالة مباشرة إلى نموذج اللغة مع القدرات المتاحة لديك — دون تدخل من brainstem أو heartbeat.

```
ابدأ بالبحث على الويب عن ثغرات CVE المعروفة الحديثة والتحذيرات
الأمنية المتعلقة بنظام تشغيلي والبرامج الشائعة. ثم اكتشف نظام
التشغيل وشغّل الأوامر المناسبة. افحص المنافذ المفتوحة وما يستمع
عليها، وحالة الجدار الناري، والخدمات والعمليات الخفية قيد التشغيل،
وإعدادات SSH، وحالة تشفير القرص، وميزات الأمان على مستوى نظام
التشغيل، وأي برامج قديمة. قارن ما تجده محلياً مع ثغرات CVE من
بحثك. أبرِز أي شيء مقلق مع مستوى المخاطرة وأخبرني بالضبط كيف أصلحه.
```

هذا كل شيء. يبدأ الوكيل بالبحث على الويب عن ثغرات CVE الحديثة، ثم يكتشف نظام التشغيل، ويشغّل الأوامر المناسبة، ويقارن النتائج المحلية مع الثغرات المعروفة، ويجمع التقرير.

## كيف يعمل

**عند الطلب:** ترسل الأمر مباشرة. يحمّل Prefrontal القدرات ذات الصلة (shell + web-search) إلى السياق ويُنفّذ نموذج اللغة التدقيق.

**مؤتمت:** يُطلق Brainstem الـ heartbeat حسب الجدول، الذي يُشغّل نفس السير دون أي إدخال يدوي.

في كلتا الحالتين، يكتشف نموذج اللغة نظام التشغيل ويُشغّل أوامر شِل المناسبة:

| الفحص               | macOS                              | Linux                                        | Windows                                |
| ------------------- | ---------------------------------- | -------------------------------------------- | -------------------------------------- |
| المنافذ المفتوحة    | `lsof -iTCP -sTCP:LISTEN`          | `ss -tlnp`                                   | `netstat -ano \| findstr LISTENING`    |
| الجدار الناري       | `socketfilterfw --getglobalstate`  | `ufw status` / `iptables -L`                 | `netsh advfirewall show allprofiles`   |
| الخدمات             | `launchctl list`                   | `systemctl list-units`                       | `Get-Service`                          |
| تشفير القرص         | `fdesetup status`                  | `cryptsetup status` / `lsblk`                | `manage-bde -status`                   |
| حمايات نظام التشغيل | `csrutil status`, `spctl --status` | حالة AppArmor/SELinux                        | Windows Defender وSecure Boot          |
| إعدادات SSH         | `cat /etc/ssh/sshd_config`         | `cat /etc/ssh/sshd_config`                   | `Get-Service sshd` + الإعدادات         |
| تحديثات الحزم       | `brew outdated`                    | `apt list --upgradable` / `dnf check-update` | `winget upgrade` / `choco outdated`    |
| العمليات الخلفية    | `~/Library/LaunchAgents`           | `systemctl list-unit-files`                  | تطبيقات بدء التشغيل + المهام المجدوَلة |

4. لكل حزمة مثبَّتة برقم إصدار، يستخدم نموذج اللغة `web_search` للتحقق من ثغرات CVE المعروفة.
5. يجمع نموذج اللغة النتائج في تقرير مهيكَل: حرج > تحذير > معلومة.
6. تتضمن كل نتيجة: ما اكتُشف، ولماذا يهم، وكيف يُصلَح.
7. يسجّل Hippocampus التقرير كحلقة (episode) لتتبّع تاريخي.
8. يسجّل Basalganglia النتيجة.

## القيود

* تحتاج بعض الأوامر إلى صلاحيات مرتفعة (`sudo` على Linux/macOS، أو Administrator على Windows) — سيطلب Amygdala التأكيد منك
* استعلامات CVE عبر البحث على الويب هي بذل أفضل جهد، وليست بديلاً عن ماسح ثغرات متخصص
* الفحوصات المحلية ترى فقط ما يكشفه نظام التشغيل — لا يمكنها اكتشاف rootkits أو اختراقات على مستوى النواة
* الحزم المدارة من النظام (مثل `/usr/bin/ruby` من Apple، أو مكونات Windows المضمَّنة) لا يمكن ترقيتها مباشرة — سيُشير الوكيل إلى ذلك ويوصي ببدائل

## دليل التكلفة والنموذج

هذه إحدى أرخص حالات الاستخدام. لا تحكم بالحاسوب، لا لقطات شاشة — فقط أوامر شِل ومعالجة نصوص.

### النموذج الموصى به

**DeepSeek v4 Pro** هو النموذج الموصى به. السير مباشر: شغّل أوامر، حلّل المخرجات، ابحث عن CVE، اكتب تقرير. يتعامل DeepSeek v4 Pro مع هذا جيداً ويبقي التكلفة منخفضة.

**Claude Sonnet 4.x** يعمل جيداً أيضاً — بديل ممتاز إذا كنت تستخدم API من Anthropic بالفعل.

**Claude Haiku 4.5** قد يفوّت بعض التداعيات الأمنية الدقيقة أو ينتج خطوات إصلاح أقل قابلية للتنفيذ. استخدمه إن كانت ميزانيتك محدودة وكنت مرتاحاً لتفسير النتائج بنفسك.

### تكلفة تقريبية لكل تشغيل

| النموذج           | التكلفة التقديرية لكل تشغيل | شهرياً (أسبوعياً) |
| ----------------- | --------------------------- | ----------------- |
| DeepSeek v4 Pro   | \~0.15-0.40 USD             | \~0.60-1.60 USD   |
| Claude Sonnet 4.x | \~0.30-0.80 USD             | \~1.20-3.20 USD   |
| Claude Haiku 4.5  | \~0.10-0.25 USD             | \~0.40-1.00 USD   |

### ميزانية الرموز (Tokens)

\~200,000 رمز لكل تشغيل مع نافذة سياق 80,000. الجزء الأكبر يأتي من نتائج بحث CVE على الويب والمقارنة المتبادلة. حوالي 15-25 استدعاء لـ LLM (بحث على الويب عن مشهد الثغرات + أوامر شِل + جلب تحذيرات Apple + مقارنة متبادلة + توليد تقرير).

## مثال تشغيل

إليك ما يبدو عليه تدقيق فعلي على macOS. بحث الوكيل على الويب عن ثغرات CVE حديثة، وشغّل أوامر شِل محلية، وقارن النتائج، وأنتج هذا التقرير:

<Accordion title="تقرير مثال كامل (macOS)">
  جيد، لديّ مشهد الثغرات. الآن سأشغّل الفحوصات المحلية وأقارنها مع تلك النتائج. سأجلب تحذيرات Apple التفصيلية وأشغّل الفحوصات المحلية بالتوازي. تم جمع كل البيانات. سأقارن كل شيء الآن وأعطيك الصورة الكاملة.

  ***

  **التدقيق الأمني — yana-macbook-pro**

  **نظام التشغيل:** macOS Tahoe 26.5 (Build 25F71) — Apple Silicon<br />
  **التاريخ:** 2026-05-27<br />
  **التقييم:** نظيف في معظمه مع بعض الأمور التي تستحق الانتباه

  ***

  **دفاعات نظام التشغيل الأساسية (كلها جيدة)**

  | الفحص               | الحالة                                                    |
  | ------------------- | --------------------------------------------------------- |
  | إصدار macOS         | 26.5 — أحدث إصدار، يتضمن دفعة تصحيحات مايو 2026 (79 ثغرة) |
  | FileVault           | مُفعَّل                                                   |
  | SIP                 | مُفعَّل                                                   |
  | Gatekeeper          | مُفعَّل                                                   |
  | SSH daemon          | لا يعمل                                                   |
  | Chrome              | 148.0.7778.179 — أحدث إصدار                               |
  | No authorized\_keys | لا أحد يستطيع الاتصال عبر SSH                             |

  ***

  **عناصر تحتاج انتباه**

  **1. Node.js على المنفذ 3000 — مكشوف لجميع الواجهات (متوسط)**

  ```
  node  51566 younes  19u  IPv6  TCP *:3000 (LISTEN)
  ```

  خادم Node.js للتطوير أو واجهة وولف فيش الخلفية يستمع على جميع واجهات الشبكة، وليس فقط localhost. أي شخص على شبكتك (مقهى، مساحة عمل مشتركة) يمكنه الوصول إليه.

  الإصلاح: اربطه بـ localhost فقط، مثل `--host 127.0.0.1` أو `.listen(3000, '127.0.0.1')`.

  ***

  **2. منفذ Chrome DevTools للتصحيح مفتوح (منخفض)**

  ```
  Google  36826 younes  98u  TCP 127.0.0.1:9222 (LISTEN)
  ```

  المنفذ 9222 هو بروتوكول التصحيح عن بُعد لـ Chrome. مربوط بـ localhost لذا التعرّض محدود، لكن إن لم تُفعّل هذا عمداً (`--remote-debugging-port=9222`)، فشيء ما شغّل Chrome بهذا الخيار.

  الإصلاح: ابحث عما يُشغّل Chrome بهذا العلَم. المشتبه بهم المعتادون: Puppeteer، Playwright، Selenium، أو سكربت أتمتة. إن لم تحتاجه، أزل العلَم.

  ***

  **3. 31 حزمة Homebrew قديمة (33 مع casks) (متوسط)**

  ```
  git (2.47.1)         — تصحيحات أمنية منذ ذلك الحين
  ca-certificates       — مخزن ثقة TLS
  gnupg, libgcrypt      — مكتبات تشفير
  sqlite                — محرك قاعدة بيانات مع تصحيحات
  go                    — مترجم مع تصحيحات أمنية
  python@3.13, python@3.14 — تصحيحات وقت التشغيل
  gh, cloudflared       — أدوات
  ```

  الإصلاح: `brew upgrade && brew upgrade --cask --greedy`. أمر واحد. 33 حزمة، لن يستغرق أكثر من بضع دقائق.

  ***

  **4. إعدادات SSH: وصول root لخادم بعيد (معلومة)**

  ```
  Host yat-server
    HostName 138.68.90.57
    User root
    IdentityFile ~/.ssh/id_younes
  ```

  أنت تتصل كـ root بـ droplet على DigitalOcean. ليست ثغرة بحد ذاتها، لكن root-over-SSH هو الشيء الذي يكتب عنه خبراء الأمن مقالات صارمة.

  الإصلاح (اختياري): أنشئ مستخدماً غير root مع sudo على ذلك الخادم وعطّل تسجيل دخول root عبر SSH في `/etc/ssh/sshd_config` (`PermitRootLogin no`).

  ***

  **5. الجدار الناري — مُفعَّل لكن بدون stealth mode (منخفض)**

  الجدار الناري يعمل لكن stealth mode مُعطَّل — يستجيب الجهاز لطلبات ping والفحص. على Wi-Fi المنزل الموثوق هذا مقبول، لكن على الشبكات العامة يجعلك أكثر قابلية للاكتشاف قليلاً.

  الإصلاح: `sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on`

  ***

  **مقارنة CVE**

  | البرنامج    | إصدارك         | ثغرات CVE ذات الصلة                                                                   | الحالة                                     |
  | ----------- | -------------- | ------------------------------------------------------------------------------------- | ------------------------------------------ |
  | macOS Tahoe | 26.5           | 79 ثغرة في دفعة مايو 2026 (جميعها مُصحَّحة في 26.5)                                   | مُصحَّح                                    |
  | Chrome      | 148.0.7778.179 | CVE-2026-5281 (UAF، مُستغَل)، CVE-2026-3913 (heap overflow)، CVE-2026-2441 (zero-day) | مُصحَّح                                    |
  | Node.js     | v24.15.0       | CVE-2026-21636 (متوسط)، ثغرات TLS مارس 2026                                           | على الأرجح مُصحَّح في 24.15                |
  | Git         | 2.47.1         | عدة ثغرات منذ ذلك الحين                                                               | يحتاج تحديث                                |
  | OpenSSH     | 10.2p1 (Apple) | CVE-2025-26465/26466 (من Sequoia 15.5)                                                | مُضمَّن من Apple، مُصحَّح عبر نظام التشغيل |
  | OpenSSL     | 3.6.2          | —                                                                                     | محدَّث                                     |

  ثغرات macOS الكبيرة التي يجب أن تعرف أنك محمي منها:

  * **CVE-2026-28819** (Wi-Fi) — تنفيذ كود تعسفي بصلاحيات النواة
  * **CVE-2026-43668** (mDNSResponder) — تلف ذاكرة النواة عن بُعد
  * **CVE-2026-28972** (Kernel) — كتابة خارج الحدود في ذاكرة النواة

  جميعها أُصلحت في Tahoe 26.5 الذي تستخدمه.

  ***

  **عناصر العمل (بحسب الأولوية)**

  1. **اربط منفذ node 3000 بـ localhost** — 30 ثانية، يغلق أكبر تعرّض لديك
  2. **`brew upgrade && brew upgrade --cask --greedy`** — 5 دقائق، يُحدّث 33 حزمة قديمة
  3. **فعّل stealth mode** — 10 ثوانٍ
  4. **تحقق مما يُشغّل Chrome مع `--remote-debugging-port`** — عمل تحقيقي
  5. **راجع وصول root SSH لـ droplet الـ DO** — متى ما شعرت بالمسؤولية

  ***

  الخلاصة: جهازك في حالة جيدة. دفاعات macOS مُفعَّلة بالكامل، أنت على أحدث نظام تشغيل مع دفعة تصحيحات مايو، وإصدارات المتصفح ووقت التشغيل محدَّثة. الفجوة الرئيسية هي 31-33 حزمة brew قديمة ومنفذ Node المكشوف. لا شيء طارئ، لكن كلاهما يستحق الإصلاح هذا الأسبوع.
</Accordion>

يمكن للوكيل أيضاً تطبيق الإصلاحات مباشرة إذا وافقت — تشغيل ترقيات الحزم، أو تبديل إعدادات الجدار الناري، أو تعديل إعدادات SSH. كل إجراء تخريبي يمر عبر Amygdala للتأكيد.

## الأتمتة باستخدام Heartbeat

أضف الأمر إلى `brain/brainstem/heartbeat.md` تحت جدول يومي:

```markdown theme={null}
## Daily(6:00)

Start by searching the web for known recent CVEs and security
advisories relevant to my OS and common software. Then detect my
OS and run the appropriate commands. Check open ports and what's
listening on them, firewall status, running services and daemons,
SSH config, disk encryption status, OS-level security features,
and any outdated software. Cross-reference what you find locally
against the CVEs from your search. Flag anything concerning with
risk level and tell me exactly how to fix it.
```

يعمل التدقيق كل صباح الساعة 6. تتراكم التقارير التاريخية في Hippocampus، فيمكنك تتبّع كيف يتغير وضعك الأمني مع الوقت — هل أصلحت فعلاً تحذيرات الأمس؟ هل تُدخل الحزم الجديدة CVEs جديدة؟
