أعلن فريق أبحاث الأمن (Calif) وOpenAI Codex في يونيو 2026 عن ثغرة رفض الخدمة عالية الخطورة CVE-2026-49975، وأطلقوا عليها اسم «قنبلة HTTP/2» (HTTP/2 Bomb). تجمع هذه الثغرة بين هجومين معروفين بشكل متسلسل: استغلال قنبلة ضغط HPACK لتحفيز تضخم كبير في الذاكرة على جانب الخادم، ثم الاستفادة من نافذة صفر البايت في التحكم بتدفق HTTP/2 لحجز جميع المخصصات في الذاكرة دون إتاحة تحريرها. أظهرت الاختبارات العملية التي أجراها الباحثون أن جهاز عميل واحد عادي مزود باتصال منزلي عريض النطاق يمكنه استنزاف 32 جيجابايت من ذاكرة الخادم المستهدف في غضون 20 ثانية، وتشمل البرامج المتأثرة nginx وApache HTTPd وMicrosoft IIS وEnvoy وCloudflare Pingora، ويتجاوز عدد المضيفين المتأثرين المعرضين على الإنترنت 880 ألف مضيف.
أنهى البائعون مختلفون الكشف المنسق وأصدروا التصحيحات تباعًا: يمكن إصلاح المشكلة عن طريق الترقية إلى nginx 1.29.8 أو إصدار أحدث، ويجب ترقية Apache mod_http2 إلى الإصدار v2.0.41+، ويمكن للمسؤولين الذين لا يستطيعون الترقية حاليًا التفكير في تعطيل HTTP/2 مؤقتًا. يكمن الجانب الفريد لهذه الثغرة في عملية الاكتشاف: فقد استعان فريق البحث بـOpenAI Codex لاكتشافها، مما يجعلها واحدة من الحالات المبكرة التي يشارك فيها وكيل ذكاء اصطناعي مبرمج في أبحاث أمنية جوهرية ويحصل على تصنيف CVE. وقد نشر الباحثون Quang Luong وJun Rong وDuc Phan التفاصيل التقنية الكاملة في مدونة.