أطلقت OpenAI مبادرة لاكتشاف الثغرات الأمنية وإصلاحها في البرمجيات مفتوحة المصدر

أعلنت OpenAI عن إطلاق مبادرة جديدة تهدف إلى البحث عن إصلاح الثغرات الأمنية في مشاريع البرامج مفتوحة المصدر. وفقاً للشركة، يقصد البرنامج معالجة مشكلة أمان منهجية لمجمل مجتمع البرامج مفتوحة المصدر.

لماذا البرامج مفتوحة المصدر غير آمنة

البرامج مفتوحة المصدر هي الأساس غير المرئي للإنترنت الحديث. فهي تشكل أساس الخوادم والمنصات السحابية وقواعس البيانات وأطر عمل الذكاء الاصطناعي وأدوات التطوير. وبحسب تقديرات مختلفة، يستخدم أكثر من 90٪ من التطبيقات التجارية مكونات من البرامج مفتوحة المصدر بطريقة أو بأخرى — لكن عدداً قليلاً منها فقط يدفع مقابل صيانتها.

المشكلة هي أن عدداً أقل بكثير من الأشخاص يراقبون أمان هذه المكونات مقارنة بالمنتجات الملكية. يتم الحفاظ على العديد من المشاريع الحرجة من قبل مطور واحد أو اثنين من المتطوعين الذين يفتقرون إلى الموارد لإجراء عمليات تدقيق أمان منهجية. قد تؤثر ثغرة واحدة في مكتبة شهيرة على ملايين المنتجات في نفس الوقت — وهذا بالضبط ما حدث مع Log4Shell في عام 2021، عندما أدت ثغرة حرجة في مكتبة Java إلى تعريض مئات الآلاف من الأنظمة في جميع أنحاء العالم للخطر.

ما تفعله OpenAI

تخطط OpenAI للاستفادة من أدوات الذكاء الاصطناعي الخاصة بها لتحليل الأكواد بشكل منهجي وتحديد المشاكل الأمنية المحتملة في مشاريع البرامج مفتوحة المصدر. وفقاً للإعلانات الأولية، تغطي المبادرة عدة اتجاهات:

• التحليل الثابت الآلي للمستودعات مفتوحة المصدر
• الكشف المنسق عن الثغرات المكتشفة — مع إخطار مسبق للمطورين قبل النشر
• المساعدة العملية للمطورين في كتابة واختبار التصحيحات
• التعاون مع برامج Bug Bounty والكشف المسؤول
• التركيز الخاص على المشاريع التي تعتبر حرجة لبنية الذكاء الاصطناعي

استخدام الذكاء الاصطناعي للبحث عن الثغرات هو خطوة منطقية: نماذج اللغة تعرف بالفعل كيفية تحليل الأكواد وتحديد الأنماط المريبة وإنشاء فرضيات عن الأخطاء بسرعة أكبر من أي مراجع بشري. تُستخدم أدوات مثل Codex وسلسلة GPT بالفعل في ماسحات الأمان التجارية — الآن تُوجّه OpenAI قوتها نحو الأكواد مفتوحة المصدر.

السياق والمنافسون

OpenAI ليست الأولى التي تعمل على أمان البرامج مفتوحة المصدر. تمول Google مشروع OSS-Fuzz منذ عام 2016، والذي يختبر مشاريع البرامج مفتوحة المصدر تلقائياً من خلال fuzzing واكتشف أكثر من 10 آلاف ثغرة. استثمرت Microsoft في أدوات الأمان لـ GitHub وأطلقت CodeQL — وهي نظام لتحليل الأكواد الثابت.

تنسق Linux Foundation، بالتعاون مع OpenSSF، حماية المشاريع مفتوحة المصدر الأكثر حساسية. ومع ذلك، نادراً ما تتحمل شركات الذكاء الاصطناعي مثل هذه المسؤولية مباشرة. تظهر المبادرة في سياق ضغوط متزايدة على الصناعة: تستخدم عمالقة التكنولوجيا البرامج مفتوحة المصدر بنشاط كأساس لمنتجاتها، لكن مساهمتهم في أمان النظام البيئي كانت تاريخياً غير متناسبة مع حجم استهلاكهم.

بالنسبة إلى OpenAI، هناك أيضاً دافع عملي. معظم أطر عمل الذكاء الاصطناعي التي تُبنى عليها منتجات الشركة — PyTorch و Triton ومختلف مكتبات معالجة البيانات — هي مشاريع مفتوحة المصدر. قد تؤثر أي ثغرة فيها بشكل مباشر على موثوقية خدمات الشركة الخاصة.

ماذا يعني هذا

إذا أثبتت المبادرة أنها واسعة النطاق وفعالة، فقد تضع سابقة لصناعة الذكاء الاصطناعي برمتها: إشارة إلى أن الشركات التي تحقق أرباحاً من النظام البيئي مفتوح المصدر ملزمة بالاستثمار في أمانه. قد تكون الخطوة التالية الضغط على Google DeepMind و Anthropic وغيرهم من اللاعبين الكبار — لديهم جميعاً دوافع قوية بالتساوي. بالنسبة لمجتمع البرامج مفتوحة المصدر نفسه، هذه أخبار جيدة محتملة جداً — للمرة الأولى، تدخل شركات تمتلك موارد وأدوات ذكاء اصطناعي متناسبة مع حجم المشكلة إلى اللعبة.