الذكاء الاصطناعي يغير البحث عن الثغرات: سباق التسلح بين المهاجمين والمدافعين

دخل سباق التسلح في مجال الأمن السيبراني مرحلة جديدة. إذا كان البحث عن الثغرات في السابق لعبة يدوية - حيث كان الباحثون يقرأون الأكواد ويجرون اختبارات الاختراق ويسجلون النتائج - فإن كلا الجانبين (المهاجمين والمدافعين) يطلقان الآن الذكاء الاصطناعي للبحث عن الأخطاء في ملايين أسطر الكود في نفس الوقت. لقد حول هذا أحد أكثر المجالات الأمنية حساسية إلى سباق تسلح حقيقي بين الآلات.

كيف يسرع الذكاء الاصطناعي البحث عن الثغرات

غيّر الذكاء الاصطناعي التوليدي بشكل جذري سرعة تطوير الاستثمارات. حيث كان الخبير يبحث عن الثغرة يدويًا، محللاً الكود سطراً تلو الآخر، يمكن لنموذج مثل GPT-4 الآن أن يحلل الكود المصدري، ويقترح متجهات الهجوم، وحتى يولد استثمارات قابلة للعمل. يعرف GitHub Copilot، المدرب على ملايين الملفات على GitHub، جميع أنماط الأكواد الضعيفة النموذجية ويمكنه التعرف عليها. اختبار التشويش بالذكاء الاصطناعي - استخدام التعلم الآلي لتوليد ذكي لمدخلات الاختبار - يجد أخطاء الانهيار وأخطاء تجزئة الذاكرة في ساعات، حيث كان يستغرق أسابيع من قبل.

تتيح أدوات مثل CodeQL و Semgrep أتمتة البحث عن الثغرات بناءً على الأنماط الدلالية والقواعس النحوية. إذا كان هناك سطر خطير مثل `eval(user_input)` أو `SQL injection` مخفياً في الكود المصدري، ستجده النظام في مليون ملف في ثوانٍ. المشكلة: تعمل هذه الأدوات بنفس الفعالية للدفاع وللهجوم. عندما يطلق المهاجم نفس CodeQL على حزم npm المفتوحة أو PyPI، يجد آلاف الثغرات المحتملة. وفي الكود المفتوح (GitHub و GitLab و npm registry) هناك ملايين متجهات الهجوم هذه.

عدم التماثل في السباق

هناك عدم تماثل أساسي بين الهجوم والدفاع. يحتاج المهاجم إلى إيجاد ثغرة واحدة في نظام واحد. يحتاج المدافع إلى إغلاق جميع الثغرات في جميع أنظمته. عزز الذكاء الاصطناعي هذا عدم التماثل عدة مرات. عندما يشغل المهاجم الذكاء الاصطناعي للبحث في حزمة npm شهيرة يستخدمها ملايين المطورين في جميع أنحاء العالم، يصبح الخطأ المكتشف رافعة محتملة على الإنترنت بأكمله.

أما المدافع فيجب أن يمر بسلسلة كاملة:

• اكتشاف الثغرة (قد يجدها المهاجم أيضاً، ربما بشكل أسرع)
• إنشاء تصحيح (يتطلب التطوير والاختبار والتحقق)
• نشر التصحيح (عملية تنظيمية تعتمد على آلاف المطورين)
• التأكد من عدم استخدام أحد للإصدار الضعيف (يكاد يكون مستحيلاً)

النتيجة: يمكن للمهاجم تشغيل الاستغلال في ساعات. المدافع سينفق أياماً وأسابيع، وأحياناً شهوراً.

«هذا يخلق نافذة فرص، والنافذة تصبح أوسع فأوسع»، كما يُقال في الدراسات

الحديثة حول الاستثمارات التي ينتجها الذكاء الاصطناعي.

بدء الدفاع بالتكيف

لكن المدافعين لا يجلسون على الهامش. تستثمر الشركات الكبرى (Microsoft و Google و Apple) في الذكاء الاصطناعي للحماية: كشف الشذوذ وإنشاء التوقيعات التلقائية والأنظمة التنبؤية للكشف. الفكرة بسيطة: إذا لم يكن من الممكن إغلاق جميع الثغرات قبل الهجوم، فسيتم كشفها في الوقت الفعلي. تبدأ أنظمة كشف الاختراق الآلية (IDS/IPS) المستندة إلى ML في التعلم للتعرف على محاولات الاستغلال قبل تفعيلها. لكن هذا يتطلب التدريب على هجمات حقيقية وحديثة - والمهاجمون يغيرون التكتيكات والتوقيعات باستمرار.

ماذا يعني هذا

نحن ندخل حقبة حرجة عندما تصبح أدوات البحث عن الثغرات السلاح الاستراتيجي الأساسي في الأمن السيبراني. ستتحكم الشركة التي تعلم الذكاء الاصطناعي بإيجاد الأخطاء بشكل أسرع من المنافسين في ساحة المعركة. بالنسبة للمطورين، هذا يعني نهاية عصر «سنجد لاحقاً»: ممارسة أمان shift-left تتوقف عن كونها توصية، بل تصبح ضرورة حتمية. يجب اكتشاف الأخطاء في دورة التطوير، وليس اكتشافها في الإنتاج.